Martin Steigerwald schrieb:
Die Socket-IDs tauchen auch unter /proc auf. Deshalb wundert mich ja, dass lsof -i die nicht rausrückt. Vielleicht hilft ja die manuelle Suche via find?shambhala:/> netstat -tulpen | grep 6470tcp 0 0 127.0.0.1:8118 0.0.0.0:* LISTEN 104 6470 2770/privoxyshambhala:/> find /proc -lname "*6470*" -exec ls -l {} \; 2>/dev/nulllrwx------ 1 root root 64 26. Okt 18:49 /proc/2770/task/2770/fd/1 -> socket:[6470]lrwx------ 1 root root 64 26. Okt 18:48 /proc/2770/fd/1 -> socket:[6470] shambhala:/#1> shambhala:/> netstat -tulpen | grep 14937054tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 0 14937054 6056/cupsdshambhala:/> find /proc -lname "*14937054*" -exec ls -l {} \; 2>/dev/nulllrwx------ 1 root root 64 26. Okt 18:49 /proc/6056/task/6056/fd/2 -> socket:[14937054]lrwx------ 1 root root 64 26. Okt 18:48 /proc/6056/fd/2 -> socket: [14937054] shambhala:/#1>
Auch hier kein Befund unter /proc. :-(Habe mir mal folgende Zeile aus der Ausgabe von 'netstat -tulpen' herausgesucht:
tcp 0 0 0.0.0.0:47264 0.0.0.0:* LISTEN 0 193793 -
Leider liefert...xxxx:/proc# find . -lname "*193793*" -exec ls -l {} \; 2>/dev/null
keine Ausgabe! Zur Kontrolle:tcp 0 0 0.0.0.0:954 0.0.0.0:* LISTEN 0 5902 3318/rpc.mountd
liefert wie erwartet...
xxxx:/proc# find . -lname "*5902*" -exec ls -l {} \; 2>/dev/null
lrwx------ 1 root root 64 2008-10-27 16:08 ./3318/task/3318/fd/7 ->
socket:[5902]
lrwx------ 1 root root 64 2008-10-27 16:07 ./3318/fd/7 -> socket:[5902]Ich bin langsam am verzweifeln! Es muss doch irgendwie herauszufinden sein, wer oder was diese Ports öffnet. Diese "Geisterports" machen mir langsam Angst. Deshalb nochmals die Frage: wer kennt sich hier mit 'auditd' aus? Über das Auditing von open() auf Inodes bzw. TCP-Ports müsste doch der Übertäter herauszufinden sein...
Ganz naive Frage an Lars: Hast Du netstat und lsof mit *Root-Rechten* gestartet? Sonst rückt der Kernel nämlich die Namen von Prozessen, die nicht dem aktuellen Benutzer gehören, nicht raus.
Aber klar! ;-) Grüße Lars