Jak mogę zamknąć proces root „nieznany TCP”, który pojawia się w nethogach?

11

Jak mogę zamknąć proces root „nieznany TCP”, który pojawia się w nethogach?

Wydaje mi się, że moje pudełko zostało włożone i za pomocą nethogów widzę proces root „nieznanego TCP”. Czy ktoś może mi powiedzieć, czy jest to oczekiwany proces, do czego może on służyć i czy / jak mogę go zamknąć.

Zmieniłem hasło użytkownika, aby spróbować zatrzymać tę osobę, ale nie jestem jeszcze pewien, czy to wystarczy. wprowadź opis zdjęcia tutaj

AKTUALIZACJA Teraz też to widzę ... tak pwned? wprowadź opis zdjęcia tutaj

root forsa
źródło
Opublikuj odpowiedni wpis w dzienniku.
Panther
@ bodhi.zazen Przepraszamy, jak opublikować dziennik? Gdzie mogę to znaleźć?
dibs
2
Opublikuj zrzut ekranu lub więcej informacji o tym, na co patrzysz, lub użyj alternatywnego narzędzia, takiego jak sudo netstat -ntulplubsudo lsof -i -n -P
Panther
@ bodhi.zazen Czy ten obraz mówi ci wystarczająco dużo?
dibs
3
Nie sądzę, że jesteś koniecznie zrootowany - Nethogs mówi, że oczekiwany jest „nieznany TCP” z 0 bajtami: sourceforge.net/p/nethogs/bugs/17
ImaginaryRobots

Odpowiedzi:

15

Pakiet „Nethogs” zawsze pokaże fałszywy proces o nazwie „nieznany TCP”, który odpowiada wszystkim, czego nie może zidentyfikować. Zauważ, że nie ma identyfikatora procesu, a ilość danych wyświetlana jest jako 0, co oznacza, że ​​nie ma nieznanego ruchu.

Oto wiersz z kodu źródłowego Nethogsa, w którym ten wiersz jest inicjowany:

unknowntcp = new Process (0, "", "unknown TCP");

( Pobieranie kodu źródłowego , zajrzyj do procesu.cpp)

Na stronie nethogs sourceforge znajduje się także raport o błędzie wyjaśniający, że to normalne: http://sourceforge.net/p/nethogs/bugs/17/

Pokazany proces „usługi zdalnego logowania” jest własnością użytkownika lightdm, który jest twoim ekranem logowania, i nie wysłał ani nie otrzymał żadnych danych. Nie jestem pewien, czy normalnie działa domyślnie, ale wydaje się, że nie robi nic z siecią na opublikowanym zrzucie ekranu, więc powinno być również bezpieczne.

http://packages.ubuntu.com/saucy/remote-login-service

Tak więc, w oparciu o to, co opublikowałeś, wydaje się, że nic nie jest niezwykłe i (chyba że znajdziesz inne dowody problemów) Twój komputer jest najprawdopodobniej bezpieczny. Jeśli naprawdę się martwisz, możesz dla pewności zrobić nową instalację.

ImaginaryRobots
źródło
Dzięki za pomoc w tym. Dostaję też mnóstwo innych zakresów IP, które pojawiają się u nethogów, kiedy nikt nie korzysta z urządzenia. Wydaje mi się, że nadal mam problem, ponieważ wydaje się, że w ruchu używam około 500 Mb na godzinę.
dibs
Taki ruch jest zdecydowanie podejrzany. Twórz kopie zapasowe, wyczyść dysk twardy i wykonaj czystą instalację ze znanego instalatora DVD.
ImaginaryRobots
1
możesz także zainstalować i uruchomić chkrootkit i rkhunter, co powinno pomóc w wykryciu włamań.
ImaginaryRobots