LINUX.ORG.RU
ФорумAdmin

id процесса, который шлет пакеты на удаленный хост.

 ,


0

1

ВСем привет. Есть центральный сервер логирования, rsyslog принимает и пишет ненужные логи с удаленного хоста. как можно узнать, какой процесс шлет пакеты с этого хоста на сервер логирования по порту 514?


Определить несанкционированное проникновение
Расшаривание нескольких «локалхостов»

udp может слать кто угодно. Может оказаться, что тот хост вообще ничего не посылает сислогу.

vel ★★★★★
()
Ответ на: комментарий от areva

Обычно на удаленном хосте это syslog/rsyslogd/syslog-ng (если уверен, что именно эта машина шлет данные).

А от какого процесса идут сообщения - смотри в самом сообщении.

vel ★★★★★
()
Ответ на: комментарий от vel

Не все так просто. Принимает rsyslog. А слать может кто угодно По порту 514 в моем случае. Мне нужно на хосте узнать какие процессы шлют конкретному ip.

areva
() автор топика

Настроить правило в auditd или прописать в iptables ″-j LOG --log-uid″. Но, если шлёт какой-нибудь скрипт, и для отправки сообщения (udp-пакета) запускается отдельный процесс, то один pid мало что даст.

mky ★★★★★
()
Ответ на: комментарий от areva

Странный у тебя хост, на котором кто-угодно может слать сообщения прямо в сеть :) Нормальный софт обычно так не работает.

Вариант с «iptables -j LOG --log-uid» тебе уже подсказали.

Если это действительно с данного хоста отправляется сообщение, то можно попробовать посмотреть какому процессу пренадлежит порт отправителя ( если он постоянный) хотя бы через «fuser -vn udp NNNN»

vel ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Определить несанкционированное проникновение
Admin
Расшаривание нескольких «локалхостов»