непонятные listen port'ы

0

3

Добрый день .

Не могу понять что это и от куда.

# netstat -nlpt | grep '-'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:54267           0.0.0.0:*               LISTEN      -
tcp6       0      0 :::57730                :::*                    LISTEN      -

Пусто:

# lsof -i :54267
# fuser 54267/tcp

Что еще можно сделать ?

Ссылка

←	OpenVPN - При подключении нового пользователя, старый теряет соединение.

Как добавить память для buff/cache?

→

А если так вжарить?

 ss -tlpne | cat -A

NDfan ★
(26.12.20 06:39:53 MSK)

Ответ на: комментарий от NDfan 26.12.20 06:39:53 MSK

LISTEN     0      64                        *:54267                    *:*      ino:28444100 sk:ffff88085ed0e8c0 <->$
LISTEN     0      64                       :::57730                   :::*      ino:28444101 sk:ffff88080421e040 <->$

tugrik ★★
(26.12.20 09:30:00 MSK) автор топика

Забавно. После ребута воспроизводится?

~~BackDoorLover~~
(26.12.20 09:46:59 MSK)

Ответ на: комментарий от BackDoorLover 26.12.20 09:46:59 MSK

Ну трафик на этом порту поснифай.

~~BackDoorLover~~
(26.12.20 09:49:11 MSK)

Ссылка

Кажется это nfs, но вообще конечно подозрительно. Еще проверяю

tugrik ★★
(26.12.20 16:14:20 MSK) автор топика

Ответ на: комментарий от tugrik 26.12.20 16:14:20 MSK

так погаси nfs и проверь

~~BackDoorLover~~
(26.12.20 16:19:20 MSK)

Ссылка

Как вариант, можно сделать опознание сервиса nmap’ом.

nmap -A -p 54267 127.0.0.1

unicorne ★
(26.12.20 16:27:56 MSK)

Ссылка

Ответ на: комментарий от tugrik 26.12.20 09:30:00 MSK

Кое-чего интересного нашлось (даже если виновник уже известен, всё равно инфа к размышлению). Смотрю на примере процесса sshd.

По идее, указанный sk должен быть в таблице, которую читает утилита lsof. Можно сверить выводы подобным образом:

# ss -tlpne | cat -A | grep ssh
LISTEN     0      128          *:22                       *:*                   users:(("sshd",pid=1671,fd=3)) ino:32676 sk:ffff95d0b5180000 <->$
LISTEN     0      128       [::]:22                    [::]:*                   users:(("sshd",pid=1671,fd=4)) ino:32678 sk:ffff95d0b4af8000 v6only:1 <->$

# grep ffff95d0b4af8000 /proc/net/tcp*
/proc/net/tcp6:   3: 00000000000000000000000000000000:0016 00000000000000000000000000000000:0000 0A 00000000:00000000 00:00000000 00000000     0        0 32678 1 ffff95d0b4af8000 100 0 0 10 0

Если нет, то странно.

Второй момент. Узнаю у известного pid привязки к сокетам - визуально, и переходом по символьной ссылке (для удобства скриптования)

# ls -li /proc/1671/fd/4
31617 lrwx------. 1 root root 64 Dec 26 16:33 /proc/1671/fd/4 -> socket:[32678]
# ls -liL /proc/1671/fd/4
32678 srwxrwxrwx. 1 root root 0 Jan  1  1970 /proc/1671/fd/4

Таким образом, получилось решить и обратную задачу, из всех inode, выделить нужный pid:

# ls -Li /proc/*/fd/* 2>/dev/null | grep 32678
     32678 /proc/1671/fd/4

NDfan ★
(26.12.20 19:47:24 MSK)

Ссылка

Ответ на: комментарий от tugrik 26.12.20 16:14:20 MSK

nfs должен светиться в выводе rpcinfo. Ещё это может быть wireguard. Хотя wireguard это udp.

mky ★★★★★
(27.12.20 01:30:51 MSK)
Последнее исправление: mky 27.12.20 01:43:53 MSK (всего исправлений: 1)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	OpenVPN - При подключении нового пользователя, старый теряет соединение.

Admin

Как добавить память для buff/cache?

→

Похожие темы