Откуда берётся процесс netstat?

Question

[Андрей]

Откуда может постоянно запускаться
netstat -ntup ? Я его убиваю killall -9 netstat а он запускается через минуты 2 опять.

Comments

[SagePtr]

А родитель у этого процесса кто?

[Андрей]

SagePtr: чёто не глянул. я сразу данные рута сменил и кильнул его. он опять появлялся я килял. потом пошёл смотреть какие кроны висят. щас чёто уже мин 20 не появляется. Подождём.

[SagePtr]

Андрей: могу предположить, что это какой-нибудь скрипт для борьбы с сетевыми атаками раз в две минуты использует netstat, чтобы проверить, нет ли с определённых IP аномально много запросов.

[Андрей]

SagePtr: тоже так могу предположить. Сервер не мой клиента. только сел смотрю. как мне его найти ума не приложу. Как можно netstat удалить пока что мне? yum remove netstat не канает. а yum remove net-tools тащит за собой целую гору пакетов

[SagePtr]

Андрей: Но если что-то левое под рутом запускается, то тут удаление не поможет, систему можно считать скомпрометированной, и неизвестно, какие там ещё присутствуют закладки. Если очень нужно избавиться от netstat, лучше сделать вместо удаления chmod a-x, тогда не запустится, но в случае компрометации системы это как мёртвому припарки.

Answer 1

[Илья Сухов]

Попробуй посмотреть, нет ли у процесса известного родительского процесса: ps auxf. Если есть то причина там, если нет - посмотри /etc/cron.d на предмет скрипта перезапускающего netstat.