特定のポートでリッスンしているデッドプロセスに関する情報をどのように取得できますか？

Question

auditd一般に、プロセスが暗黙的に何も記録していない場合、またはシステム全体のロギングソリューションの一種が展開されていない場合（ほとんど）、調査できるものはあまりありません。

プロセスが何を達成しようとしているのかわからないと仮定すると、次のようになります。

疑わしい成功または失敗のログイン試行を見つけるには、lastまたはlast -f /var/log/btmp | lessを実行します。faillog
/var/log/secure認証に関する手がかりを確認してください。
新しく追加されたタスクがあることを確認して/var/cron/tab探します。確認すると、実行中の疑わしいタスクを特定するのに役立ちます。つまり、別のフォルダで追加のタスクを見つけるように構成が変更されたことを意味します。/etc/crontab/var/log/croncron
lsmod現在ロードされている疑わしいカーネルモジュールを実行します（dkms status動的にロードされたカーネルモジュールにも適用されます）。

すべてのログファイルを手動で確認または認識している場合は、grepを介してプロセス名を見つけることもできます。はい、設定されて/var/log/auditいauditdて実行していることを確認してください。そうすれば、より多くの情報を見つけることができます。

とにかく、干し草の山に針がたくさんあります。何かを見つけるためにプロセスが何をしているのかについて、多くの情報に基づいて（または教育されていない）推測をする必要があります。

Answer 1

auditd一般に、プロセスが暗黙的に何も記録していない場合、またはシステム全体のロギングソリューションの一種が展開されていない場合（ほとんど）、調査できるものはあまりありません。

プロセスが何を達成しようとしているのかわからないと仮定すると、次のようになります。

疑わしい成功または失敗のログイン試行を見つけるには、lastまたはlast -f /var/log/btmp | lessを実行します。faillog
/var/log/secure認証に関する手がかりを確認してください。
新しく追加されたタスクがあることを確認して/var/cron/tab探します。確認すると、実行中の疑わしいタスクを特定するのに役立ちます。つまり、別のフォルダで追加のタスクを見つけるように構成が変更されたことを意味します。/etc/crontab/var/log/croncron
lsmod現在ロードされている疑わしいカーネルモジュールを実行します（dkms status動的にロードされたカーネルモジュールにも適用されます）。

すべてのログファイルを手動で確認または認識している場合は、grepを介してプロセス名を見つけることもできます。はい、設定されて/var/log/auditいauditdて実行していることを確認してください。そうすれば、より多くの情報を見つけることができます。

とにかく、干し草の山に針がたくさんあります。何かを見つけるためにプロセスが何をしているのかについて、多くの情報に基づいて（または教育されていない）推測をする必要があります。

おすすめ記事