回答:
開始するいくつかの場所:
netstat)-これは、一般的に言えば、システムで何が起こっているかについての適切なアイデアを提供するはずです。/root/.bash_history (または、rootを使用しなかった場合は他のユーザーのもの)-コンソールで行われていることはすべて、理想的にはシステムの目的に関連しています。/var/log -標準ログを見て、アプリケーションに関連するものを探します。/var/log/dpkg.log、/var/log/yum.logなど/etc/crontabおよび/etc/cron.*ユーザーごとのジョブの両方)
ps uaxwかtopを見るために、またはについてはどうですか?:)
科学的なことはほとんどわかっていませんが、経営陣から許可を得た場合、VMを一時停止することを検討します。あなたは何か他のもの。
真剣に、あなたはすべての人が彼らがすることすべてを本当に知らずにそれらを理解しようとするキャリアを過ごすことができます。それらを一時停止するのは奇妙で厳しいと思われるかもしれませんが、ドキュメントがない場合は、最初に一度だけその方法を確認するために、アイデアを経営陣に販売できると確信しています。
提案された最初の答えがそうps -efではなかったことに驚いたので、私はそれを追加します:システムが今何をしているか知りたい場合は、プロセスリストを読んで、ルートが何をしているかに特に注意を払い、顕著な名前のユーザー(mysql、namedなど)が所有するプロセスがあるかどうか。
次に、プロセスリストlsofをrootとして実行したものと比較して、ネットワーク上でリッスンしているプロセスと、開いているファイルを保持しているプロセスを確認します。通常、これにより、一般的にその主な機能である、ボックス上で長時間実行されるプロセスのかなり良い全体像が得られます。
注目すべき例外には、メール(ローカルsyslogおよびmailqsendmailで処理される内容の詳細を参照)、および/etc/xinetd.conf少なくとも最新のRedhatベースのLinuxに適したinted タイプのオンデマンドサービスが含まれます。
お役に立てば幸いです。特定の問題に遭遇した場合はお知らせください!
lsof。 lsof -iこれらの状況であなたの親友になることができます。
親愛なる、それは楽しいものです。
それらが何のために使われているのか分かりますか?「これらはネットワークサービスに使用されていました」に絞り込むことができますか、それとも本当に何かありますか?
実行中のすべてのサービスの監査とともに、各サーバーでのパケットキャプチャが必要だと思います。実行中の各サービスの構成ファイルを見つけて、ファイルが最後に更新された日時を確認します。これにより、何かがカスタマイズされているかどうか、もしそうであれば、どれくらい前かがわかります。
各サーバーでポートスキャンを実行して、開いているポートと応答しているポートを確認することもできます。
既知のネットワークサービス(EG、DNS、LDAPなど)を照会することで手がかりを得ることができます。NSレコードを掘ることで、特定のゾーンのすべてのDNSサーバーのリストを見つけることができるはずです。NSレコードのリストは、実際にアクティブなDNSサーバーよりも長くなる可能性がありますが、出発点になることを覚えておいてください。
これらの方法は、それ自体で確実に起動するものではありませんが、特定のボックスに複数の監査方法をスローすると、見つける価値のあるすべてのものを見つける可能性が高まります。
幸運を!
ポートスキャンにより、ネットワークでアクセス可能なサービスが明らかになります
サーバーからローカルで:
nmap 127.0.0.1
または、nmapに特定のサブネット/マスクをスキャンするように指示できます
もう1つの角度は、サーバーに接続するように構成されているものを調べることです。foozle.example.comがCEOのメールクライアントで設定されている場合、それはおそらくメールサーバーです。FTPクライアントは、おそらく何らかのWebサーバーを指します。等など