从几天前开始,我一直在观察服务器的 24441 端口上出现的一些奇怪的重复传出 UDP 流量,但由于它不是持续的,所以我似乎无法找到导致它的原因。
我在 iptables 日志中看到的只是以下内容:
Nov 15 00:46:33 server kernel: [17216276.676673] Firewall: *UDP_OUT Blocked* IN= OUT=eth0 SRC=<SERVER_IP> DST=5.9.124.53 LEN=192 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=60641 DPT=24441 LEN=172 UID=501 GID=513
我怀疑这是某种恶意软件定期从我的服务器运行,但我想找出具体是什么。有人能解释一下如何捕获这种情况/当这种情况发生时自动记录其来源吗?我正在运行 Centos 6.7。谢谢!
答案1
这应该可以做到,连续运行,但我还没有测试过:)。
#!/bin/bash
tail -f iptables.log | grep "UDP_OUT Blocked" | sed 's/^.*SPT=//g
s/\s.*$//g' | ( while read portnum
do
netstat --inet --program --udp --all -v -n | grep "$portnum"
done ) 2>&1 | tee suspicious.log
tail、grep、sed提取被阻塞的源端口号列表,netstat获取程序信息。