如何检测哪个进程正在进行端口扫描

如何检测哪个进程正在进行端口扫描

我的 Linux 服务器正在运行一个未经授权的进程(我不知道其名称),该进程正在从服务器向互联网进行端口扫描。

我如何找出这是哪个进程并终止它!

谢谢!

答案1

查看lsof输出并追踪打开大量可能连续的端口号的进程。

答案2

如果您的系统已被入侵,则可能没有办法识别并终止该进程。您唯一的办法可能是从干净的媒体重新启动机器并开始扫描/恢复/重建。

看:黑客攻击后的后果

答案3

如果机器没有被rootkited,netstat -l -p -d可能会给出有趣的结果。

相关内容