mkfifo /tmp/trace
while : ; do lsof -i -P >/tmp/trace 2>&1 ; done &
grep ":<suspect port>" | awk '{ print $1 }' | sort | uniq * hai il
nome del programma
Un hackery sicuramente. Ma unito al log di iptables che può anche
loggare l'uid, non è male.
Quello che ci vorrebbe è una evoluzione di exec-notify
(http://www.suse.de/~krahmer/exec-notify.c)
Ciao
Elia
On Thu, Dec 4, 2008 at 10:07 PM, Michele Orsenigo <[EMAIL PROTECTED]> wrote:
> On Thursday 04 December 2008 09:55:21 you wrote:
>> Michele Orsenigo wrote:
>> > Su una postazione desktop, con Debian sid e kernel custom 2.6.26, qualche
>> > programma, ogni tanto, mi apre connessioni tcp e/o udp non usuali, come
>> > rivelato dai log del firewall che presiede l'accesso internet.
>> >
>> > Ora, tramite iptables, riesco tranquillamente a tracciare il traffico,
>> > compreso uid e gid con il quale gira il processo, ma dato che l'utente è
>> > sempre il medesimo (escluso root che però fa girare solo i demoni di
>> > sistema), non riesco a risalire al programma.
>> >
>> > C'è qualcosa, di non eccessivamente pesante per tracciare anche il pid ?
>> > O devo proprio lanciare ogni singolo programma con un'utenza tutta sua ?
>
>> "lsof -i" sulla macchina?
>> Ciao ciao,
>> Gippa
>
> purtroppo mi accorgo solo a posteriori (dal log di iptables) che è stata
> utilizzata una porta non usuale. Quindi mi è inutile lanciare lsof perchè la
> connessione a quel punto è già stata chiusa.
> Bisognerebbe farlo richiamare da una regola di iptables o forse da un evento
> nel momento della sua scrittura nel log .....
> Ci penso su, ma se qualcuno ha un'idea migliore è ben accetta.
>
> Grazie
> --
> Michele Orsenigo
> [EMAIL PROTECTED]
> ----------------
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List
>
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
