2008/12/4 Michele Orsenigo: [...] >> "lsof -i" sulla macchina? >> Ciao ciao, >> Gippa > > purtroppo mi accorgo solo a posteriori (dal log di iptables) che è stata > utilizzata una porta non usuale. Quindi mi è inutile lanciare lsof perchè la > connessione a quel punto è già stata chiusa. > Bisognerebbe farlo richiamare da una regola di iptables o forse da un evento > nel momento della sua scrittura nel log ..... > Ci penso su, ma se qualcuno ha un'idea migliore è ben accetta.
Puoi provare a cambiare la policy di iptables, e anzichè fare DROP o REJECT del pacchetto in questione, inoltrarlo con NAT all'interfaccia di loopback. Se metti anche un --log alla regola di iptables, questo potrebbe darti la possibilità di avere un semplice shell script che controlla i log di iptables, e lancia lsof quando li vede incrementare. Inoltrando il pacchetto all'interfaccia di loopback anzichè "droppparlo" subito dovrebbe darti abbastanza tempo da "beccare" il programma. Spero sia utile. Ciao -- Marco Ermini [EMAIL PROTECTED] # mount -t life -o ro /dev/dna /genetic/research http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
