Linuxで特定のポートが開いているプロセスを確認する方法は？

サーバーでnmapを実行しましたが、奇妙なポートが開いています。そのポートを特定のプロセスにマップする方法があるかどうかを把握しようとしていますが、そのようなツールがあるかどうかはわかりません。

助言がありますか？

他の投稿で言及されているNetstatと同様に、lsofコマンドはこれをうまく実行できるはずです。これを使用するだけです：

lsof -i :<port number>

そして、すべてのプロセスが起動するはずです。私はOS Xで非常に頻繁にそれを使用しています。

lsofのDebian管理記事

警告：システムが危険にさらされています。

必要なツールはでlsof、ファイル（およびソケットとポート）をリストします。インストールされている可能性が最も高く、攻撃者のバージョンである可能性が高いため、ユーザーに嘘をつきます。

これは確かにルートキットです。以前にこの動作を見たことがありますが、これは常にルートキットです。システムが危険にさらされており、同じマシンを起源とする使用中のツールは信頼できません。ライブCD（読み取り専用の信頼できるバイナリを含む）を起動し、それを使用してデータ、設定などを抽出します。使用していたプログラム、使用していたスクリプトはすべて破棄します。それらを持ってこないでください。彼らはので、彼らは、ハンセン病を持っているかのように、それら、およびシステムを扱いません。

完了したら、orbitから破棄します。

できるだけ早くこれを行います。ああ、ネットワーク接続を外します-攻撃者のアクセスを拒否します。

sudo netstat -lnp  

着信接続をリッスンしているポートと、ポートが開いている関連プロセスを一覧表示します。

netstat -anp

「-p」は、ポートが開いているプロセスIDをリストするように指示します。-anは、リスニングポートをリストし、名前を解決しないように指示します。ビジーなシステムでは、戻る速度を大幅に高速化できます。

netstat -anp | grep "LIST"

それはあなたに開いているポートを与えるだけです。

オペレーティングシステムのツールでポートが開いていないことがわかり、侵入が疑われる場合は、ルートキットがインストールされている可能性があります。

ルートキットは、特定のプロセスやポートを回避するためにシステムツールを変更したり、カーネルモジュールを変更した可能性があります。

いくつかの自動化ツールを使用してルートキットを確認できます。「apt-cache search rootkit」は、Ubuntuで次を示します。

chkrootkit - rootkit detector
rkhunter - rootkit, backdoor, sniffer and exploit scanner
unhide - Forensic tool to find hidden processes and ports

ルートキットを使用している場合は、システムへの「変更」を元に戻すことができますが、侵入がどのように行われたかを確認し、繰り返さないようにシステムを強化することをお勧めします。

これらはUbuntu専用ではなく、CentOSでも使用できます。パッケージを探すか、ページからダウンロードしてください。

そのポートからの出力では、実際にpcanywhereを実行しているように見えます。「。<Enter>」はpcanywhereのウェルカムメッセージである「Enter <Enter>」に非常に似ています。プロセスがプロセスリストに表示されない理由がわかりません。あなたはルートですか？

再起動を試して、1回限りのプロセスが実行されているかどうかを確認することもできます。

@bjtitusによる回答を詳しく説明するには、次のような非常に詳細な情報を入手できます。

$ lsof -i :8000
COMMAND  PID  USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
squid3  1289 proxy   15u  IPv6 14810490      0t0  TCP *:8000 (LISTEN)

$ ps -fp 1289
UID        PID  PPID  C STIME TTY          TIME CMD
proxy     1289     1  0 09:48 ?        00:00:00 /usr/sbin/squid3 -N -f /etc/squid-deb-proxy/squid-deb-proxy.conf

イカがプロセスであることがすぐにわかりますが、実際にsquid-deb-proxyポートを使用しているのは私のことです。

Javaアプリの別の良い例：

$ lsof -i :4242
COMMAND  PID USER   FD   TYPE   DEVICE SIZE/OFF NODE NAME
java    3075 root   86u  IPv4    12019      0t0  TCP *:4242 (LISTEN)

$ ps -fp 3075
UID        PID  PPID  C STIME TTY          TIME CMD
root      3075     1 15 May24 ?        3-16:07:25 /usr/local/crashplan/jre/bin/java -Dfile.encoding=UTF-8 -Dapp=CrashPlanService -DappBaseName=CrashPl

あなたはで見ることができlsof、それが参考に満たないのjava、であること（一覧オープンファイル）。psPIDでコマンドを実行すると、CrashPlanであることがすぐにわかります。