ss 异常活动端口查询-std

主机监控发现有异常端口被激活
How to identify a process which has no pid?

#. 查询一下端口没有进程pid
ss -nltp | egrep '33291|46141'

1. 原因1可能是nfs
#套接字不属于进程,它属于内核。这方面的一个常见示例是 NFS ,Linux 内核本身提供 NFS 服务器(又名“knfsd”)。因此没有关联的进程,因为内核不是进程
netstat -ltp | egrep -- '-[[:space:]]*$'
rpcinfo -p

2. 从文件打开的inode id查询启动文件
#还有查不到的,待查
cat /proc/net/tcp | egrep -w "sl|821b"  (33307转为16进制)
netstat -alep | egrep -i "Inode|$Inodeid"   改为 $Inodeid

INODE=`cat /proc/net/tcp | egrep -w "50"  | awk '{print $NF}'` && echo $INODE && netstat -alep | egrep -i "Inode|$INODE"

image

posted @ 2021-10-02 19:28  AlexG  阅读(89)  评论(0编辑  收藏  举报