#networking #tcp #port #firewall #trojan
Вопрос:
Я нахожусь на VPS, с tcpdump я заметил некоторый трафик от и до порта 4001 на моей машине. Я пробовал lsof -i :4001 , что ничего не дает, я пробовал tcpkill port 4001 , что дает « tcpkill: write: Operation not permitted »
У меня также этот порт заблокирован брандмауэром (вход и выход)
У вас есть какие-нибудь идеи о том, что это за трафик, почему я не могу видеть процесс и почему я не могу его остановить?
tcpdump-n-X дает что-то вроде этого:
11:29:59.434409 IP foreignIP.4018 > myIP.4001: Flags [.], ack 1, win 501, length 0
0x0000: 4500 0028 766e 4000 3406 3df2 334f e45d E..(vn@.4.=.3O.]
0x0010: 8b63 ef5f 0fb2 0fa1 9dd6 1baf 7215 425c .c._........r.B
0x0020: 5010 01f5 8e25 0000 P....%..
11:29:59.454867 IP myIP.4001 > foreignIP.4004: Flags [.], ack 1, win 6141, length 0
0x0000: 4500 0028 ae3d 4000 7f06 bb22 8b63 ef5f E..(.=@....".c._
0x0010: 334f e45d 0fa1 0fa4 4a40 3666 3405 791f 3O.]....J@6f4.y.
0x0020: 5010 17fd b857 0000
Комментарии:
1. Ты пробовал с
sudoэтим ? speedguide.net/port.php?port=4001 перечислены некоторые варианты, но это может ничего не значить. Вы также можете попытаться захватить информацию о процессе — это зависит от операционной системы, но, например, в macOS это возможноtcpdump -k.2. да, я уже подключен как root, машина Debian 10, tcpdump -k не работает. Откуда мне знать, что это троян optixpro?
3.
netstat -putna | grep 4001чтобы найти процесс прослушивания?4. это ничего не дает так же, как lsof