Ferenc Wagner <wf...@niif.hu> writes:
> Laborczi Pál <lp...@pse.siemens.hu> writes:
>
>> Adott egy szerver, amely rejtélyes leveleket küldözget, de nem a helyi
>> postfix segítségével, hanem a 25-ös porton bejelentkezik a szomszédos
>> gépre. Mivel csomóban jönnek a levelek, sikerült megfognom egy fölépült
>> kapcsolatot a netstat-tal TIME_WAIT állapotban. De a PID/Program name
>> mezőben csak egy kötőjel ("-") van.
>>
>> A futó folymatok között sem találtam gyanúsat. A naplókban semmi nyoma
>> efféle tevékenységnek.
>>
>> Hogy' lehet elkapni egy ilyen nem kívánatos programot.
>>
>> Az op.rendszer Centos.
>
> Ha a gépet nem valami féreg rágja, hanem üzemszerűen működik, akkor az
> identd pont erre való (remélhetőleg a túloldalon figyelő MTA tud identd
> lekérdezést csinálni). Egy másik lehetőség az iptables -j LOG, ami
> elárulja legalább a PID-et
Nem a PID-et, hanem az UID-ot, és csak ha megadod a --log-uid opciót is.
> illetve a -j QUEUE, ha el akarod csípni magát a küldő processzt.
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
