Добрый день!
Прошу Вашей помощи в решении такой проблемы:
На работе на сервере стоит debian 6 (ставил его не я,а квалификации разобраться самому не хватает ввиду ограниченного времени :()
Внезапно (или просто раньше внимания не обращали) с этого сервера начали отправляться запросы с множества разных портов, но все по одному и тому же ip-адресу в китае, таким образом генерируя очень большой исходящий трафик (и что-то мне подсказывает что ещё и вредоносный)
Задача:
Определить что за программа инициирует весь этот трафик;
Заблокировать\удалить\отключить эту программу;
Ну а потом я сделаю всё по уму и закрою все порты и разрешу только нужные ::)
GarikBesson, смотреть логи, траффик смотреть через tcpdump, список процессов через ps -A.
qupl, спасибо. На данный момент ситуация такова: нашёл через top процесс, который, как мне кажется и мутит воду. Но. Убиваю его через kill(в том числе с правами рута), а на его место приходит другой.
Например убил процесс zsadfdtscj, вместо него запустился nwhqzxwyjq. Ну и так далее. Можно же как-то отследить откуда физически процесс запускается и удалить источник, например?
GarikBesson, pstree -uanpl
оно? (http://forum.ubuntu.ru/index.php?topic=258600.0)