如何获取正在侦听特定端口的死进程的信息？

Question 1

auditd一般来说，如果进程没有隐式记录任何内容或者未部署某种系统范围的日志记录解决方案（最有可能），则您可以调查的内容不多。

假设您不知道该过程试图完成什么，您可以做的是：

运行last和last -f /var/log/btmp | less或faillog来查找可疑的成功或失败的登录尝试。
检查/var/log/secure任何与身份验证相关的线索
检查/var/cron/tab并/etc/crontab查找任何新添加的作业（如果有）（检查还/var/log/cron有助于识别正在运行的一些可疑作业，这意味着配置cron已修改为在其他文件夹中查找额外作业）
运行lsmod当前加载的任何可疑内核模块（也dkms status适用于动态加载的内核模块）

您还可以手动检查所有日志文件或通过 grep 查找进程名称（如果您知道的话）。是的，检查/var/log/audit以防万一auditd已设置并运行。如果是这样，您可能会找到更多信息。

不管怎样，更多的是大海捞针。您应该对该过程正在做什么进行大量有根据的（或没有受过如此教育的）猜测才能找到任何东西。

Answer

auditd一般来说，如果进程没有隐式记录任何内容或者未部署某种系统范围的日志记录解决方案（最有可能），则您可以调查的内容不多。

假设您不知道该过程试图完成什么，您可以做的是：

运行last和last -f /var/log/btmp | less或faillog来查找可疑的成功或失败的登录尝试。
检查/var/log/secure任何与身份验证相关的线索
检查/var/cron/tab并/etc/crontab查找任何新添加的作业（如果有）（检查还/var/log/cron有助于识别正在运行的一些可疑作业，这意味着配置cron已修改为在其他文件夹中查找额外作业）
运行lsmod当前加载的任何可疑内核模块（也dkms status适用于动态加载的内核模块）

您还可以手动检查所有日志文件或通过 grep 查找进程名称（如果您知道的话）。是的，检查/var/log/audit以防万一auditd已设置并运行。如果是这样，您可能会找到更多信息。

不管怎样，更多的是大海捞针。您应该对该过程正在做什么进行大量有根据的（或没有受过如此教育的）猜测才能找到任何东西。

Question 2

这几乎完全取决于与所述过程相关的程序的日志记录选项。

“几乎”是因为系统应该记录进程外部原因导致的崩溃（磁盘空间不足、内存不足等）

Answer

这几乎完全取决于与所述过程相关的程序的日志记录选项。

“几乎”是因为系统应该记录进程外部原因导致的崩溃（磁盘空间不足、内存不足等）

相关内容