On 4/30/10, Marcelo <[email protected]> wrote: > Srs, > > tenho notado em meu log: > > > -1-TENT-SAIDA-PORTA-80---: IN= OUT=eth0 SRC=server DST=216.34.xxx.xxx > LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=2552 DF PROTO=TCP SPT=34837 DPT=80 > WINDOW=5840 RES=0x00 SYN URGP=0 > -0-TENT-SAIDA-PORTA-80---: IN= OUT=eth0 SRC=server DST=216.34.xxx.xxx > LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=2554 DF PROTO=TCP SPT=34837 DPT=80 > WINDOW=5840 RES=0x00 SYN URGP=0 > -1-TENT-SAIDA-PORTA-80---: IN= OUT=eth0 SRC=server DST=216.34.xxx.xxx > LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=2554 DF PROTO=TCP SPT=34837 DPT=80 > WINDOW=5840 RES=0x00 SYN URGP=0 > > Ou seja, o próprio servidor está tentando acessar a porta 80 de outros, > ja verifiquei possiveis acessos pelo cron e etc e nada. > alguém tem alguma sugestão de como verificar qual "aplicativo" está > tentando este acesso? > > Obrigado, > > > --------------------------------------------------------------------- > Esta mensagem pode conter informacao confidencial. > Se voce nao for o destinatario ou a pessoa autorizada a receber > esta mensagem, nao podera usar, copiar ou divulgar as informacoes nela > contidas ou tomar qualquer acao baseada nessas informacoes. Se > voce recebeu esta mensagem por engano, favor avisar imediatamente o > remetente, respondendo o e-mail e, em seguida, apague-o. > Agradecemos sua cooperacao. > > This message may contain confidential information. > If you are not the addressee or authorized person to receive it for the > addressee, you must not use, copy, disclose or take any action based on > this message or any information herein. If you have received this message > in error, please advise the sender immediately by replying this e-mail > message and delete it. > Thanks in advance for your cooperation. > ---------------------------------------------------------------------- > LIM16 Faculdade de Medicina USP > ----------------------------------------------------------------------
Se usar a opção -p do netstat tu pode ver qual o processo tenta estabelecer a conexão. O problema é que tem que ficar em cima o tempo todo. Tu pode fazer um script que fica "olhando" o log do firewall, quando ver isso ele da um netstat -an p | grep o ip de destino e ai tu sabe o PID de quem tentou acessar. O tcpdump também pode te dar informações importantes, algo tipo tcpdump -vvv -i interface -n -p tcp port 80 deve dar vários detalhes. -- GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected]
