как определить процесс, который подключается через 161 порт (РЕШЕНО)

grep 161 /etc/services
Можно конечно ограничить в iptables'е его, но процесс имхо посмотреть сложно.

1. emerge sys-process/audit

2. в /etc/audit/audit.rules в конец добавляем
-a entry,always -S listen

3. rc-config start auditd

4. rc-config start cupsd

5. смотрим в логах /var/log/audit/audit.log
type=SYSCALL msg=audit(1206530038.023:7120): arch=c000003e syscall=50 success=yes exit=0 a0=2 a1=80 a2=10 a3=0 items=0 ppid=
12136 pid=12137 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsuid=0 egid=0 sgid=0 fsgid=0 tty=(none) comm="cupsd" exe="/usr/sb
in/cupsd" key=(null)

6. играем с параметром -S syscall -S... -S ...

можно визуально понаблюдать каким нибудь etherape`ом

iptables -A INPUT -p tcp 161 -j LOG --log-level notice --log-prefix "POPALSYA:"
iptables -A INPUT -p udp 161 -j LOG --log-level notice --log-prefix "POPALSYA:"

emerge is not apt-get

вот, наконец, руки дошли :)

# Способ отслеживания процессов общающихся через сеть по определенному критерию.
#
# Способ А (emerge ucspi-tcp - комплект программ для установки TCP/IP соединений.).
#
# 1. Устанавливаем правило REDIRECT(перенаправить в --to-ports для 127.0.0.1) для
# отслеживания по порту:
# $IPT -t nat -A OUTPUT -p tcp -m tcp --dport <порт> -j REDIRECT --to-ports 33333
# отслеживания по адресу назначения:
# $IPT -t nat -A OUTPUT -p tcp -m tcp -d <адрес> -j REDIRECT --to-ports 33333
#
# 2. Запускаем от root
# tcpserver localhost 33333 ___trap-net-process
#
# =8<=8<=8<=8<=8<=8<= ___trap-net-process =8<=8<=8<=8<=8<=8<=
#
# #!/bin/sh
# echo "" >> /tmp/trapport.txt
# echo `date +%Y-%m-%d_%H-%M-%S` >> /tmp/trapport.txt
# netstat -anp --protocol inet > /tmp/trapport.txt 2>&1
#
# =>8=>8=>8=>8=>8=>8= ___trap-net-process =>8=>8=>8=>8=>8=>8=
#
#
# Способ Б.
#
# Использовать QUEUE target или NFQUEUE target