Ferenc Wagner <wf...@niif.hu> writes:

> Laborczi Pál <lp...@pse.siemens.hu> writes:
>
>> Adott egy szerver, amely rejtélyes leveleket küldözget, de nem a helyi 
>> postfix segítségével, hanem a 25-ös porton bejelentkezik a szomszédos 
>> gépre. Mivel csomóban jönnek a levelek, sikerült megfognom egy fölépült 
>> kapcsolatot a netstat-tal TIME_WAIT állapotban. De a PID/Program name 
>> mezőben csak egy kötőjel ("-") van.
>>
>> A futó folymatok között sem találtam gyanúsat. A naplókban semmi nyoma 
>> efféle tevékenységnek.
>>
>> Hogy' lehet elkapni egy ilyen nem kívánatos programot.
>>
>> Az op.rendszer Centos.
>
> Ha a gépet nem valami féreg rágja, hanem üzemszerűen működik, akkor az
> identd pont erre való (remélhetőleg a túloldalon figyelő MTA tud identd
> lekérdezést csinálni).  Egy másik lehetőség az iptables -j LOG, ami
> elárulja legalább a PID-et

Nem a PID-et, hanem az UID-ot, és csak ha megadod a --log-uid opciót is.

> illetve a -j QUEUE, ha el akarod csípni magát a küldő processzt.
_________________________________________________
linux lista      -      linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux

válasz