我想知道是否有可能找出哪个进程正在尝试建立特定的网络连接。在我支持的服务器上,该服务器托管着大约 200 个用户的网站,iptables 防火墙一直在阻止与端口 80 上的 212.117.169.139 的连接,这是理所当然的。Firefox 将此报告为攻击页面(如果不是恶意的,至少也是明显的垃圾邮件)。
似乎出于某种原因,该服务器上的某些东西正在尝试访问此网站,尽管它已被成功阻止,但请求似乎每两到六十秒就会通过一次,我希望能够找到执行此操作的进程或脚本,以便我可以适当地处理它。除了执行 grep 以尝试查找此 IP 是否在某个文件中(这可能不会起作用,因为它可能通过主机名工作或可能被编码)之外,还有其他方法可以找到更多信息吗?
谢谢!
答案1
watch应该netstat -p可以帮助解决这个问题。
答案2
Serverfault 有一个答案,使用 auditd 跟踪哪些程序打开了连接。对你来说可能有点过头了。