有人告诉我,我的工作PC正在大量扫描别人PC的端口,这不是我想要的。我如何找出哪个程序正在执行此操作?
遵循ByteCommander的注释建议,我曾经nethogs
列出了我的网络流量。我没有发现以这种方式在我的计算机上运行的可疑程序(这不一定意味着没有这样的程序-我只是无法监视整个输出),但是表格中有些奇怪的行
my_ip_address:port-other_ip_address:port
其中右侧IP地址为123.24.163.24、58.221.44.109或88.248.51.254。通过搜索它们,您将看到它们全部都出现在某些黑名单中。这是否意味着正在发生可疑事件?这跟我原来的问题有关系吗?
对于您,我还有另一种方法,因为我过去面对同样的情况。
找出您的PC与受害人的PC之间正在发生什么通信
tcpdump -nn host your_victim_ip
您的输出应类似于以下内容
08:36:19.738610 IP 192.168.89.xxx.46582 > 89.35.224.xxx.80: Flags [.], ack 18825, win 523, options [nop,nop,TS val 15987331 ecr 427321428], length 0
08:36:19.738625 IP 89.35.224.xxx.80 > 192.168.89.xxx.46582: Flags [.], seq 18825:20273, ack 492, win 243, options [nop,nop,TS val 427321428 ecr 15987307], length 1448: HTTP
08:36:19.738635 IP 192.168.89.xxx.46582 > 89.35.224.xxx.80: Flags [.], ack 20273, win 545, options [nop,nop,TS val 15987331 ecr 427321428], length 0
08:36:19.738643 IP 89.35.224.xxx.80 > 192.168.89.xxx.46582: Flags [FP.], seq 20273:21546, ack 492, win 243, options [nop,nop,TS val 427321428 ecr 15987307], length 1273: HTTP
从上面的输出中,端口的粗体为192.168.89.xxx。46582 > 89.35.224.xxx。80
找出与该端口一起使用的端口 lsof
lsof -i:80
用tcpdump
输出中建立的端口更改“:80” ;-n用于禁止将IP解析为名称,-P用于禁止将端口转换为名称;它应该告诉您使用端口80的进程。
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
firefox 30989 mihai 61u IPv4 496649 0t0 TCP 192.168.89.xxx:40890->89.35.224.xxx:80 (ESTABLISHED)
在我的示例中可以看到,COMMANDfirefox
在IP 89.35.224.xxx建立的通信中使用端口80
如果该命令看起来很奇怪,请从运行ls -l /proc/$PID/exe
位置验证$ PID是在前面使用lsof命令创建的进程ID。应该有类似的输出:
lrwxrwxrwx 1 mihai mihai 0 Jan 16 22:37 /proc/30989/exe -> /usr/lib/firefox/firefox
另外,您可以lsof -i:port
使用以下命令检查上面列出的命令的更多详细信息lsof -c command_name
那是最重要的部分,因此请记住,几乎所有内容都将与它显示的“运行命令”相关,例如它使用的文件,其他连接等等。
杀死进程 sudo kill -9 $PID
如果不是通用的进程名称(如firefox),最好将文件备份到另一个位置并删除它,尽管如果它是通用的,则可以考虑重新安装该应用程序。
另一种方法是在步骤4更改命令使用。使用此命令lsof -i@*victim_ip_address*
可以查看与受害者的IP地址具有有效连接的所有过程和命令。
重要说明:以root身份运行所有命令或使用sudo
。
如果您tcpdump
既未lsof
安装也未安装,则可以通过以下方式安装它们:sudo apt install lsof tcpdump
在这一点上,我认为您已经具备了使用IPTABLES和阻止传出流量(如果仍然需要)所需的所有信息。
不要忘记tcpdump
再次使用以查看问题是否已经解决。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句