Esta pregunta es similar al puerto de red abierto, pero ¿no hay ningún proceso conectado?
He intentado todo desde allí, revisé los registros, etc. y no puedo encontrar nada.
Mi netstat muestra un puerto de escucha TCP y un puerto UDP sin un pid. Cuando busco lsof para esos puertos no aparece nada.
netstat -lntup
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:44231 0.0.0.0:* LISTEN -
udp 0 0 0.0.0.0:55234 0.0.0.0:* -
Los siguientes comandos no muestran nada:
lsof | grep 44231
lsof | greo 55234
fuser -n tcp 44231
fuser -n udp 55234
Después de reiniciar, esas "mismas" dos conexiones están allí excepto con nuevos números de puerto:
netstat -lntup
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:45082 0.0.0.0:* LISTEN -
udp 0 0 0.0.0.0:37398 0.0.0.0:* -
Y una vez más, los comandos lsof y fuser no muestran nada.
Alguna idea de lo que son? ¿Debería preocuparme por ellos?
Algunos procesos / pids solo están disponibles para rootear. Tratar
debería devolver el pid de cada puerto abierto que no esté en un estado TIME_WAIT
fuente
Basado en la sugerencia de @ user202173 y otros, he podido usar lo siguiente para rastrear el proceso que posee un puerto incluso cuando está listado como
-
en netstat.Aquí estaba mi situación inicial.
sudo netstat
muestra puerto con PID / Programa de-
.lsof -i
no muestra nadaAhora vamos a pescar. Primero obtengamos el inodo agregando
-e
a nuestranetstat
llamada.Siguiente uso
lsof
para obtener el proceso adjunto a ese inodo.Ahora conocemos la identificación del proceso para poder ver el proceso. Y desafortunadamente es un proceso difunto. Y su PPID es 1, por lo que tampoco podemos matar a su padre (consulte ¿Cómo puedo matar un proceso cuyo padre es init? ). En teoría, init podría eventualmente limpiarlo, pero me cansé de esperar y reinicié.
fuente
lsof | awk 'NR==1 || /212698803/'
(inclusolsof -N
para mostrar solo NFS) puede ser muy lento para responder y puede agotar el tiempo de espera. Otro inconveniente es que el inodo puede cambiar mientras está solucionando esto.No sé cuáles son estos específicamente, pero los módulos del núcleo (NFS, por ejemplo) no tienen un PID para asociar con estos sockets. Busca algo sospechoso en lsmod.
fuente
No sé si esto puede ser útil. Tuve el mismo problema y lo que hice es lo siguiente: Primero, llamé a netstat con las opciones -a (todas) y -e (extendida). Con la última opción puedo ver el Inode asociado al puerto utilizado. Luego, llamé a lsof | grep con el número de inodo obtenido y obtuve el PID del proceso asociado a ese inodo. Eso funcionó en mi caso.
fuente
¿Hay algún tráfico entrando o saliendo de este puerto? Compruebe que con
tcpdump -vv -x s 1500 port 37398 -w trace.out
Guarde su captura en el archivo trace.out, luego puede abrirlo con wireshark otcpdump -vv port 37398
ver qué sucede directamente.Intente telnet a ese puerto, use netcat para el socket udp, tal vez obtenga algún tipo de banner que ayude.
Obtenga rkhunter y verifique que su sistema no tenga una puerta trasera.
Compare el hash md5 de lsof / netstat con el de su medio de instalación, suponiendo que los archivos no estén actualizados.
fuente