Как получить информацию о мертвом процессе, который прослушивал определенный порт?

Вообще говоря, мало что можно исследовать, если процесс не регистрировал что-либо неявно или не было развернуто какое-то общесистемное решение для ведения журнала (скорее всего, auditd ).

Предполагая, что вы не знаете, что этот процесс пытался выполнить, вы можете:

• Выполнить last и last -f / var / log / btmp | less или faillog для поиска подозрительных успешных или неудачных попыток входа в систему.

• Проверьте / var / log / secure на наличие ключей, связанных с аутентификацией.

• Проверьте / var / cron / tab и / etc / crontab , чтобы найти любые новые добавленные задания, если таковые имеются (также проверка / var / log / cron поможет выявить некоторые подозрительные задания, которые были запущены, что означает, что конфигурация cron была изменена для поиска в других папках для дополнительных заданий)

• Запустите lsmod для любых загруженных подозрительных модулей ядра (также dkms status для динамически загружаемых)

Вы также можете проверить все файлы журналов вручную или с помощью поиска по имени процесса (если вы его знаете). И да, проверьте / var / log / audit на случай, если auditd настроен и работает. Если это так, вы, вероятно, найдете дополнительную информацию.

Во всяком случае, это больше о поиске иголки в стоге сена. Вы должны сделать много обоснованных (или не очень образованных) предположений о том, что делает этот процесс, чтобы найти что-нибудь.