У меня есть обновленная свежая установка CentOS 7. Через день после установки я заметил, что от нее исходит тонна исходящего трафика, которого достаточно, чтобы замедлить работу всей домашней сети и вывести из строя мой маршрутизатор Netgear n450.
iftop показывает:
192.168.0.9:45819 => 39.107.91.147:asterix
192.168.0.9:41311 => 39.107.91.147:asterix
192.168.0.9:20364 => 39.107.91.147:asterix
192.168.0.9:43557 => 39.107.91.147:asterix
Этот порт назначения Астерикса кажется странным. Я побежал netstat но не видел ничего, связанного с этим пунктом назначения, и lsof -i :asterix ничего не показывает.
Я готов просто стереть все это и переустановить, но мое любопытство хочет в этом разобраться. Может ли кто-нибудь просветить меня о том, как я могу выяснить, какой процесс вызывает это, и как я могу его удалить?
Изменить: я также запустил wirehark:
192.168.0.9 39.107.224.31 tcp 921 54081 ->8600 [SYN] Seq=0 Win=60246 Len=867
192.168.0.9 39.107.224.31 tcp 911 28526 ->8600 [SYN] Seq=0 Win=60596 Len=857
и это продолжается и продолжается, обратите внимание на другой IP-адрес назначения, он меняется каждый раз, когда я повторно подключаюсь или устанавливаю правило брандмауэра, чтобы отбрасывать исходящий трафик на этот адрес.
Пытаться Nethogs, это похоже на обычный top , но показывает использование сети для каждого процесса.
Я бы предложил установить такие инструменты, как fail2ban, OSSEC, чтобы вы могли более эффективно отслеживать подобные инциденты.
А затем с помощью netstat вы можете получить пользователя, индексный дескриптор и т. Д. Если вы знаете порт:
# netstat -tanp -e |awk 'NR == 2 || /<port_number/'
Example
# netstat -tanp -e |awk 'NR == 2 || /8009/'
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:8009 0.0.0.0:* LISTEN 43475 8771034 30611/java