Encontrar threads/scripts associados a uma porta?

Question

mikemtnbikes

Asked: 2024-02-22 04:09:24 +0800 CST2024-02-22 04:09:24 +0800 CST 2024-02-22 04:09:24 +0800 CST

Uso pesado da rede UDP/sunrpc para endereços IP desconhecidos

772

Na última semana, meu monitoramento de rede indicou que meu computador desktop começou a enviar periodicamente ~ 0,7 MB/s pela minha conexão Ethernet (eno).

Entendo muito pouco sobre protocolos de rede, mas tenho tentado descobrir quais processos são responsáveis por esse uso intenso da rede. Algumas abordagens simples foram desligar meu navegador, encerrar o dropbox, etc. Nada disso parece ser o culpado.

Também tentei usar nethogs, mas não mostra nenhum processo usando a rede nesse nível de uso. Eu então tentei usar iptraf-ng. Tive dificuldade em entender o resultado, mas finalmente percebi que a maior parte do tráfego estava saindo de UDP/sunrpc. Tentei usar essas informações com lsof -i:sunrpcou lsof -i:111, mas não obtive nenhuma informação.

Filtrar a saída de ipgraf-ngfor sunrpc fornece o seguinte

Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 156.226.77.151:5709
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 160.20.57.123:32421 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 160.20.57.123:32421
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 156.226.101.174:39960 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 156.226.101.174:39960
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 103.80.24.127:22853 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 103.80.24.127:22853
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 156.226.125.197:56897 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 156.226.125.197:56897
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 103.30.201.131:27703 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 103.30.201.131:27703
Wed Feb 21 14:31:32 2024; UDP; eno1; 68 bytes; from 154.204.194.227:21216 to machine.domain.edu:sunrpc
Wed Feb 21 14:31:32 2024; UDP; eno1; 1500 bytes; from machine.domain.edu:sunrpc to 154.204.194.227:21216

Procurar esses endereços IP me preocupa, pois eles não estão associados a nenhuma entidade que eu conheça.

Alguém pode me ajudar a entender o que está acontecendo?

1 respostas

Voted

mikemtnbikes · Answer 1 · 2024-02-23T03:00:35+08:00

Best Answer

mikemtnbikes

2024-02-23T03:00:35+08:002024-02-23T03:00:35+08:00

Conforme apontado por @Bib e @eyoung100, minha máquina está sendo usada para amplificar um ataque DNS. Parei e desativei o rpcbindserviço usando

$ sudo systemctl stop rpcbind
$ sudo systemctl stop rpcbind.socket

e

$ sudo systemctl disable rpcbind
$ sudo systemctl disable rpcbind.socket

já que não é necessário (AFAIK). A única função de servidor real do meu computador é nfs4.2.

0

Uso pesado da rede UDP/sunrpc para endereços IP desconhecidos

Possível firmware ausente /lib/firmware/i915/* para o módulo i915

Falha ao buscar o repositório de backports jessie

Como exportar uma chave privada GPG e uma chave pública para um arquivo

Como podemos executar um comando armazenado em uma variável?

Como configurar o systemd-resolved e o systemd-networkd para usar o servidor DNS local para resolver domínios locais e o servidor DNS remoto para domínios remotos?

apt-get update error no Kali Linux após a atualização do dist [duplicado]

Como ver as últimas linhas x do log de serviço systemctl

Nano - pule para o final do arquivo

erro grub: você precisa carregar o kernel primeiro

Como baixar o pacote não instalá-lo com o comando apt-get?

Uso pesado da rede UDP/sunrpc para endereços IP desconhecidos

1 respostas

relate perguntas