我必须管理一个 ubuntu 12.04 服务器,其中似乎对整个子网进行端口扫描。我怎样才能找到进行扫描的进程?
pstree
init─┬─acpid
├─apache2───14*[apache2]
├─atd
├─avahi-daemon───avahi-daemon
├─bluetoothd
├─colord───2*[{colord}]
├─console-kit-dae───64*[{console-kit-dae}]
├─cron
├─cupsd
├─dbus-daemon
├─fail2ban-server───2*[{fail2ban-server}]
├─gam_server
├─6*[getty]
├─irqbalance
├─kdm─┬─Xorg
│ └─kdm───kdm_greet───2*[{kdm_greet}]
├─mysqld───27*[{mysqld}]
├─ntpd
├─polkitd───{polkitd}
├─rsyslogd───3*[{rsyslogd}]
├─smbd───smbd
├─sshd───sshd───sshd───bash───su───bash───tmux
├─tmux───bash───pstree
├─udevd───2*[udevd]
├─upstart-socket-
└─upstart-udev-br
答案1
使用lsof。它显示进程及其关联的文件。对于你来说,你应该寻找IP(意味着套接字)而不是常规文件。这应该告诉您哪个进程正在执行扫描。然后您可以跟踪该进程是如何被调用的。