我的 Linux 服务器正在运行一个未经授权的进程(我不知道其名称),该进程正在从服务器向互联网进行端口扫描。
我如何找出这是哪个进程并终止它!
谢谢!
答案1
查看lsof输出并追踪打开大量可能连续的端口号的进程。
答案2
如果您的系统已被入侵,则可能没有办法识别并终止该进程。您唯一的办法可能是从干净的媒体重新启动机器并开始扫描/恢复/重建。
看:黑客攻击后的后果
答案3
如果机器没有被rootkited,netstat -l -p -d可能会给出有趣的结果。
如何检测哪个进程正在进行端口扫描