Jak stwierdzić, czy tajemnicze programy na liście Nethogs są złośliwym oprogramowaniem?

12

Oto, co widzę w Nethogs:

Zrzut ekranu

Martwię się o aukcje z PID ?, działające jako root. Jak mogę się dowiedzieć, co to jest? Używam Linux Mint 14.

Daj mi znać, jakie inne informacje powinienem dołączyć.

Alex D.
źródło
Czy korzystasz z nethogów jako root? netstat -tapmoże również wyświetlać programy związane z połączeniami (jeśli działa jako root). Adresy IP wydają się być stronami japońskiego Yahoo.
jofel

Odpowiedzi:

14

Są to połączenia TCP, które zostały użyte do nawiązania połączenia wychodzącego ze stroną internetową. Na podstawie końcowego można stwierdzić, :80który port jest zwykle używany do połączeń HTTP z serwerami WWW. Po zakończeniu uzgadniania połączenia TCP w 3 kierunkach połączenia pozostają w stanie „czekaj na zamknięcie”.

Ten bit to adres IP twojego systemu lokalnego i jest to port, który został użyty do nawiązania połączenia ze zdalnym serwerem WWW:

IP: 192.168.0.100  PORT: 50161

Przykład

Oto dane wyjściowe z mojego systemu przy użyciu netstat -ant:

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT   

Zauważ stan na końcu? Jest TIME_WAIT. Możesz się o tym przekonać, dodając -pprzełącznik, abyśmy mogli zobaczyć, jaki proces jest powiązany / powiązany z tym konkretnym połączeniem:

$ sudo netstat -antp | grep 192.168.1.20:54125
$

To pokazuje, że żaden proces nie był z tym powiązany.

slm
źródło
1
Krótko mówiąc, dla użytkowników nieobeznanych z siecią ... to wcale nie są osobne procesy, ale połączenia, które zostały utworzone przez moją przeglądarkę internetową i które czekają na zamknięcie? ( netstatWidzę, że ich stan to LAST_ACK.)
Alex D
@AlexD - tak, czekają na zamknięcie.
slm