Laborczi Pál <lp...@pse.siemens.hu> writes:
> Adott egy szerver, amely rejtélyes leveleket küldözget, de nem a helyi
> postfix segítségével, hanem a 25-ös porton bejelentkezik a szomszédos
> gépre. Mivel csomóban jönnek a levelek, sikerült megfognom egy fölépült
> kapcsolatot a netstat-tal TIME_WAIT állapotban. De a PID/Program name
> mezőben csak egy kötőjel ("-") van.
>
> A futó folymatok között sem találtam gyanúsat. A naplókban semmi nyoma
> efféle tevékenységnek.
>
> Hogy' lehet elkapni egy ilyen nem kívánatos programot.
>
> Az op.rendszer Centos.
Ha a gépet nem valami féreg rágja, hanem üzemszerűen működik, akkor az
identd pont erre való (remélhetőleg a túloldalon figyelő MTA tud identd
lekérdezést csinálni). Egy másik lehetőség az iptables -j LOG, ami
elárulja legalább a PID-et, illetve a -j QUEUE, ha el akarod csípni
magát a küldő processzt.
--
Feri.
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux
