On 03 Δεκ 2008, at 1:13 ΜΜ, Michele Orsenigo wrote:
Su una postazione desktop, con Debian sid e kernel custom 2.6.26,
qualche
programma, ogni tanto, mi apre connessioni tcp e/o udp non usuali,
come
rivelato dai log del firewall che presiede l'accesso internet.
Ora, tramite iptables, riesco tranquillamente a tracciare il traffico,
compreso uid e gid con il quale gira il processo, ma dato che
l'utente è
sempre il medesimo (escluso root che però fa girare solo i demoni di
sistema), non riesco a risalire al programma.
C'è qualcosa, di non eccessivamente pesante per tracciare anche il
pid ?
O devo proprio lanciare ogni singolo programma con un'utenza tutta
sua ?
Grazie
Michele Orsenigo
[EMAIL PROTECTED]
----------------
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Ciao,
Puoi provare lsof oppure netstat. Per esempio, sul mio iMac "lsof -i":
Last login: Wed Dec 3 18:31:24 on console
lsAngel:~ atma$ lsof -i
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
SystemUIS 177 atma 10u IPv4 0x6bda5f8 0t0 UDP *:*
GrowlHelp 205 atma 4u IPv4 0x95f0270 0t0 TCP
192.168.0.100:49375->216.64.142.80:http (CLOSE_WAIT)
Adium 251 atma 8u IPv4 0x78a066c 0t0 TCP
192.168.0.100:50149->duck.adiumx.com:http (CLOSE_WAIT)
Adium 251 atma 11u IPv4 0x6bd9f38 0t0 UDP *:49163
Adium 251 atma 12u IPv4 0x7749e64 0t0 TCP
192.168.0.100:53446-
>by2msg2104615.gateway.edge.messenger.live.com:msnp (ESTABLISHED)
Adium 251 atma 19u IPv4 0xdf68270 0t0 TCP
192.168.0.100:53448->65.54.170.18:https (CLOSED)
Skype 569 atma 6u IPv4 0x6bda448 0t0 UDP localhost:49332
Si vede chiaramente l'applicazione, la conessione ed il protocollo
usato.
Panagiotis (atma) Atmatzidis
email: [EMAIL PROTECTED]
URL: http://www.convalesco.org
--
The wise man said: "Never argue with an idiot. They bring you down to
their level and beat you with experience."
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
