netstat बिना pid के साथ एक सुनने वाला पोर्ट दिखाता है लेकिन lsof नहीं करता है

यह प्रश्न नेटवर्क पोर्ट ओपन के समान है , लेकिन कोई प्रक्रिया संलग्न नहीं है?

मैं वहाँ से सब कुछ करने की कोशिश की है, लॉग की समीक्षा की, आदि ... और कुछ भी नहीं मिल सकता है।

मेरा netstat एक pid के बिना एक TCP श्रवण पोर्ट और एक UDP पोर्ट दिखाता है। जब मैं उन बंदरगाहों के लिए lsof खोजता हूं तो कुछ भी नहीं आता है।

netstat -lntup
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:44231           0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:55234           0.0.0.0:*                           - 

निम्नलिखित आदेश कुछ भी प्रदर्शित नहीं करते हैं:

lsof | grep 44231
lsof | greo 55234
fuser -n tcp 44231
fuser -n udp 55234

रीबूट करने के बाद, नए पोर्ट नंबर के अलावा वे "वही" दो कनेक्शन हैं:

netstat -lntup
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:45082           0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:37398           0.0.0.0:*                           - 

और एक बार फिर, lsof और fuser कमांड कुछ नहीं दिखाते हैं।

किसी भी विचार वे क्या हैं? क्या मुझे उनके बारे में चिंतित होना चाहिए?

आपके द्वारा प्रदान किए गए डेटा से मैं कहूंगा कि यह RFS का उपयोग करके कुछ NFS माउंट या कुछ से संबंधित है।

आप उन rpcinfo -pबंदरगाहों के लिए जाँच कर सकते हैं जिनका उपयोग आरपीसी से संबंधित कुछ सेवाओं द्वारा किया जा सकता है।

यहाँ है कि यह मेरे सिस्टम पर कैसा दिखता है

# netstat -nlp | awk '{if ($NF == "-")print $0}'
tcp        0      0 0.0.0.0:55349           0.0.0.0:*               LISTEN      -               
udp        0      0 0.0.0.0:18049           0.0.0.0:*                           - 

# rpcinfo -p
   program vers proto   port
    100000    2   tcp    111  portmapper
    100000    2   udp    111  portmapper
    100024    1   udp  10249  status
    100024    1   tcp  10249  status
    100021    1   udp  18049  nlockmgr
    100021    3   udp  18049  nlockmgr
    100021    4   udp  18049  nlockmgr
    100021    1   tcp  55349  nlockmgr
    100021    3   tcp  55349  nlockmgr
    100021    4   tcp  55349  nlockmgr

कुछ प्रक्रिया / pids केवल रूट करने के लिए उपलब्ध हैं। प्रयत्न

sudo netstat -antlp

उसे हर उस खुले पोर्ट का पृष्ठ लौटना चाहिए जो TIME_WAIT स्थिति में नहीं है

@ User202173 और अन्य से संकेत के आधार पर, मैं इस प्रक्रिया को ट्रैक करने के लिए निम्नलिखित का उपयोग करने में सक्षम रहा हूं जो कि नेटस्टैट के रूप -में सूचीबद्ध होने पर भी एक पोर्ट का मालिक है ।

यहां मेरी शुरुआती स्थिति थी। sudo netstatपीआईडी ​​/ कार्यक्रम के साथ पोर्ट दिखाता है -। lsof -iकुछ नहीं दिखाता है।

$ sudo netstat -ltpna | awk 'NR==2 || /:8785/'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp6       0      0 :::8785                 :::*                    LISTEN      -
tcp6       1      0 ::1:8785                ::1:45518               CLOSE_WAIT  -
$ sudo lsof -i :8785
$

अब चलते हैं मछली पकड़ने। पहले -eहमारे netstatकॉल को जोड़कर इनकोड प्राप्त करें।

$ sudo netstat -ltpnae | awk 'NR==2 || /:8785/'
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode       PID/Program name
tcp6       0      0 :::8785                 :::*                    LISTEN      199179     212698803   -
tcp6       1      0 ::1:8785                ::1:45518               CLOSE_WAIT  0          0           -

अगली lsofप्रक्रिया उस इनोड से जुड़ी प्रक्रिया को प्राप्त करने के लिए।

$ sudo lsof | awk 'NR==1 || /212698803/'
COMMAND      PID    TID                USER   FD      TYPE             DEVICE   SIZE/OFF       NODE NAME
envelope_ 145661 145766               drees   15u     IPv6          212698803        0t0        TCP *:8785 (LISTEN)

अब हम प्रक्रिया आईडी को जानते हैं, इसलिए हम प्रक्रिया को देख सकते हैं। और दुर्भाग्य से यह एक दोषपूर्ण प्रक्रिया है। और इसका PPID 1 है, इसलिए हम इसके अभिभावक को भी नहीं मार सकते (देखें कि मैं किस तरह की प्रक्रिया को मार सकता हूं, जिसके माता-पिता अयोग्य हैं? )। सिद्धांत रूप में यह अंतत: इसे साफ कर सकता है, लेकिन मैं इंतजार करते-करते थक गया और रिबूट हो गया।

$ ps -lf -p 145661
F S UID         PID   PPID  C PRI  NI ADDR SZ WCHAN  STIME TTY          TIME CMD
0 Z drees    145661      1  2  80   0 -     0 exit   May01 ?        00:40:10 [envelope] <defunct>

मुझे नहीं पता कि ये विशेष रूप से क्या हैं, लेकिन कर्नेल मॉड्यूल (उदाहरण के लिए एनएफएस) में इन सॉकेट्स के साथ जुड़ने के लिए पीआईडी ​​नहीं है। लसमोड में कुछ संदिग्ध लग रही है।

मुझे नहीं पता कि यह उपयोगी हो सकता है। मेरे पास एक ही समस्या थी और मैंने जो किया वह निम्न है: पहला, मैंने विकल्प-ए (सभी) और -ई (विस्तारित) के साथ नेटस्टैट कहा। बाद के विकल्प के साथ मैं इस्तेमाल किए गए पोर्ट से जुड़े इनोड को देख सकता हूं। फिर, मैंने lsof कहा। grep इनोड नंबर प्राप्त किया और मुझे उस इनोड से जुड़ी प्रक्रिया की PID मिल गई। कि मेरे मामले में काम किया।

क्या इस पोर्ट से कोई ट्रैफ़िक आ रहा है या नहीं जा रहा है, जाँच लें कि tcpdump -vv -x s 1500 port 37398 -w trace.outफ़ाइल कैप्चर में आपकी कैप्चर सेव के साथ है। इसके बाद आप इसे वायरशार्क से खोल सकते हैं, या tcpdump -vv port 37398सीधे व्हाट्स पर जा रहे हैं।

उस पोर्ट को टेलनेट करने का प्रयास करें udp सॉकेट के लिए नेटकाट का उपयोग करें शायद आपको किसी तरह का बैनर मिल जाए जो मदद करता है।

Rakhunter जाओ और एक पिछले दरवाजे के लिए अपने सिस्टम की जाँच करें।

अपने इनस्टॉल मीडिया से lsof / netstat के md5 हैश की तुलना उन फाइलों से करें जहां अपडैट नहीं है।