parere su esito comando lsof-i e netstat

Gio 31 Mar 2005 01:20:43 CEST

On Thu, Mar 31, 2005 at 12:35:19AM +0200, Calogero Bonasia wrote:
> premessa:
> Lsof è un comando utile per il debugging dei processi, può essere utilizzato 
ma va' ? :>

> anche per vericare la corrispondenza nome, PID processo e porte aperte sul 
manca la fi(ca) :P

> proprio sistema. L'opzione -i abilita la visualizzazione della corrispondenza 
> processo, servizio e numero porta, invece le opzioni -n e -P evitano la 
> risoluzione dell'host e port name.
> di seguito un esempio di lsof in una macchina da me gestita:
> [root@GIOVE root]# lsof -i -P -n
>  COMMAND PID  USER   FD   TYPE DEVICE SIZE NODE NAME
>  sshd    470  root    3u  IPv4   1032       TCP *:22 (LISTEN)
>  xinetd  481  root    5u  IPv4   1112       TCP *:23 (LISTEN)
>  mysqld  525 mysql    3u  IPv4   1113       TCP *:3306 (LISTEN)
>  mysqld  527 mysql    3u  IPv4   1113       TCP *:3306 (LISTEN)
>  mysqld  528 mysql    3u  IPv4   1113       TCP *:3306 (LISTEN)
che schifo!

>  sshd    529  root    4u  IPv4   1119       TCP 10.0.0.16:22->10.0.0.93:33 
> (ESTABLISHED)
> 
> qui, invece, l'esito di lsof -i:20080 nella macchina di un cliente che lamenta 
> continue e ripetute, nonche' inspiegabili cadute "di rete" in merito ad un 
> applicativo che io amministro sul server del cliente (PAFlow) che, appunto. 
?? perso pezzi ??

> Per motivi di tutela della privacy, ho cambiato il nome host del server, nn 
> sapendo se anche per svista, la mail potesse finire "pubblica":
> 
[omissis] righe di vaneggiamenti vari :}

> chiedo lumi a chi ne sa piu' di me, su "cosa siano" questi nomi particolari, 
> ad esempio "bytex" o "cadsi-lm" o "nimrod-agent" correlati agli indirizzi ip 
porte "alte" che la tua macchina mappa su nomi che (vai a capire perchè) i
sistemisti della distro che tu usi hanno messo in /etc/services ma in
questo caso essendo porte sorgente non ti significano assolutamente
nulla.

> dei client che risulta stiano accedendo alle risorse sul server del cliente. 
> In particolare, desidero specificare che si tratta di macchine sulle quali 
> gira Windows e che sono "palesemente" infette con virus, troiani, spyware et 
> similia...
anche se provi da GNU/Linux vedrai l'accesso eseguito da porte alte
verso la 20080, come è giusto che sia. Poi che uindaus scelga le porte
sorgente alla cazzo è un'altra questione :P

> 
> ancora, di seguito, l'esito del comando lsof -i:5432, cioe' eseguito sul 
> server per verificare chi in quel momento stesse richiedendo "servizi" al 
> database postgresql:
> 
qui non mi sembrava ci fosse nulla di anomalo

> ed infine: l'esito del comando netstat, dato da root, sul server in argomento
> 
ma perchè accedono sia dalla 172.10.0.x che dalla 172.10.1.x ???

ma cade _tutta_ la rete ?? a me non sembra da quello che ho visto in
questi gg. ma hai provato con ab(8) a vedere se appena carichi troppo
paflow ti si pianta tutta la macchina ?? è plausibile che qualche virus
provi a contattare un po' troppo il tuo server e lo faccia impallare,
hai provato a dare di iptables(8) e limitare il traffico (o quantomeno
le connessioni al sec.) da ogni singola macchina ? sarebbe interessante
piuttosto di un semplice lsof(8) vedere ognuna di quelle connessioni
quanto dura, quante vanno in half-close, quante resettano dopo il SYN-ACK
etc etc insomma un monitoring anche solo di un'ora.

p.s. spesso è colpa di uindaus ma che paflow faccia schifo lo si sapeva
:)

\Emilio