Jak stwierdzić, czy tajemnicze programy na liście Nethogs są złośliwym oprogramowaniem?

12

Oto, co widzę w Nethogs:

Zrzut ekranu

Martwię się o aukcje z PID ?, działające jako root. Jak mogę się dowiedzieć, co to jest? Używam Linux Mint 14.

Daj mi znać, jakie inne informacje powinienem dołączyć.

networking malware Alex D.
źródło
Czy korzystasz z nethogów jako root? netstat -tapmoże również wyświetlać programy związane z połączeniami (jeśli działa jako root). Adresy IP wydają się być stronami japońskiego Yahoo.
jofel

Odpowiedzi:

14

Są to połączenia TCP, które zostały użyte do nawiązania połączenia wychodzącego ze stroną internetową. Na podstawie końcowego można stwierdzić, :80który port jest zwykle używany do połączeń HTTP z serwerami WWW. Po zakończeniu uzgadniania połączenia TCP w 3 kierunkach połączenia pozostają w stanie „czekaj na zamknięcie”.

Ten bit to adres IP twojego systemu lokalnego i jest to port, który został użyty do nawiązania połączenia ze zdalnym serwerem WWW:

IP: 192.168.0.100  PORT: 50161

Przykład

Oto dane wyjściowe z mojego systemu przy użyciu netstat -ant:

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT

Zauważ stan na końcu? Jest TIME_WAIT. Możesz się o tym przekonać, dodając -pprzełącznik, abyśmy mogli zobaczyć, jaki proces jest powiązany / powiązany z tym konkretnym połączeniem:

$ sudo netstat -antp | grep 192.168.1.20:54125
$

To pokazuje, że żaden proces nie był z tym powiązany.

slm
źródło
1
Krótko mówiąc, dla użytkowników nieobeznanych z siecią ... to wcale nie są osobne procesy, ale połączenia, które zostały utworzone przez moją przeglądarkę internetową i które czekają na zamknięcie? ( netstatWidzę, że ich stan to LAST_ACK.)
Alex D
@AlexD - tak, czekają na zamknięcie.
slm