Lsof ne trouve pas le processus en écoute

libresurf · Juillet 1, 2017, 9:47am

Bonjour,

mes logs de firewall indiquent des tentatives d’accès à mon port TCP 41922.

Netstat me donne :

root@ordi:~# netstat -latupen
Connexions Internet actives (serveurs et établies)
Proto Recv-Q Send-Q Adresse locale Adresse distante Etat User Inode PID/Program name
[…]
tcp 0 0 0.0.0.0:41922 0.0.0.0:* LISTEN 0 17758 -
[…]

J’ai l’utilisateur (user : 0 => root), mais ni le PID , ni le nom du programme. J’ai un “-” à la place.
Ici, 17758 est le numéro d’inode.

J’utilise alors lsof :

root@ordi:~# lsof -i :41922
root@ordi:~#

lsof ne me retourne rien du tout !!!

Comment connaître le processus qui utilise le port TCP 41922 ???

Merci de votre aide.

Mimoza · Juillet 1, 2017, 9:53am

Bizarre, regarde avec un coup de «(h)top» pour voir si tu n’as pas un process sans nom.
Sinon regarde avec rkhunter pour voir si tu n’as pas un truc louche sur le pc.
Et après un redémarrage le process est toujours présent ?

libresurf · Juillet 1, 2017, 1:31pm

Bonjour Mimoza,

htop ne renvoie pas de processus sans nom.

Rkhunter ne trouve rien d’anormal, excepté quelques programmes qui ont été modifiés suite à des mises-à-jour.

Par contre, après démarrage, le processus inconnu est toujours présent et a changé de port. Maintenant, c’est le port 49099.

En faisant une recherche sur l’ensemble des processus inconnus, j’obtiens :

root@ordi:~# netstat -latuepn | grep " - "
tcp 0 0 0.0.0.0:60380 0.0.0.0:* LISTEN 0 15664 -
tcp 0 0 0.0.0.0:2049 0.0.0.0:* LISTEN 0 16660 -
tcp 0 0 0.0.0.0:49099 0.0.0.0:* LISTEN 0 17348 -
tcp 0 0 192.168.0.1:672 192.168.0.138:2049 ESTABLISHED 0 17346 -
udp 0 0 0.0.0.0:33166 0.0.0.0:* 0 15663 -
udp 0 0 0.0.0.0:2049 0.0.0.0:* 0 16662 -

Dans le liste, il y a donc aussi le port 2049, qui est utilisé pour NFS.
Donc ici, NFS apparaît comme un service inconnu. Est-ce normal ?

Pour les ports 60380 et 33166, je n’ai pas de correspondance.
C’est quand même bizarre, non ?

Mimoza · Juillet 1, 2017, 9:27pm

Dsl je vais pouvoir t’aider plus, mes compétence sont limité dans ce domaine.

libresurf · Juillet 2, 2017, 11:20am

Mimoza, ce n’est pas grave, merci de t’être penché sur mon problème.

Peut-être que quelqu’un d’autre sur le forum aura la réponse…

PascalHambourg · Juillet 2, 2017, 12:11pm

Le serveur NFS est implémenté dans le noyau. Peut-être que netstat et lsof n’arrivent pas à identifier les processus parce que ce sont des processus noyau (kernel threads, entourés par des crochets dans la sortie de ps).

Mimoza · Juillet 2, 2017, 1:50pm

Même dans une liste plus que fournit je ne trouve rien qui corresponde a ce port.
Ça ne serait pas un process qui n’écoute pas, mais qui se connecte à un service distant ?

PascalHambourg · Juillet 2, 2017, 2:34pm

Si c’est un port alloué via le portmapper, il peut être aléatoire. Vérifier avec

rpcinfo -p

libresurf · Juillet 2, 2017, 9:06pm

Bonjour PascalHambourg,

effectivement le processus nfsd est bien un processus du noyau. Il est retourné entre croches par la sortie de ps.

Ça me rassure donc si ce port est bien utilisé par nfsd.

libresurf · Juillet 2, 2017, 9:07pm

Non, le processus est bien écoute, car il est marqué LISTEN dans la sortie de netstat.

libresurf · Juillet 2, 2017, 9:10pm

Le port est bien alloué aléatoirement, malheureusement il ne fait pas partie de la liste produite par la commande rpcinfo -p.
C’est dommage car je pensais vraiment depuis ton précédent post que le processus faisait partie de NFS.