Wie kann man feststellen, ob mysteriöse Programme in der Liste der Nethogs Malware sind?

12

Das sehe ich in Nethogs:

Bildschirmfoto

Ich bin besorgt über die Auflistungen mit PID ?, ausgeführt als root. Wie kann ich herausfinden, was das ist? Ich verwende Linux Mint 14.

Bitte lassen Sie mich wissen, welche weiteren Informationen ich hinzufügen soll.

networking malware Alex D
quelle
Läufst du Nethogs als root? netstat -tapkann auch Programme anzeigen, die sich auf die Verbindungen beziehen (wenn es als root ausgeführt wird). Die IPs scheinen einige japanische Yahoo-Seiten zu sein.
Jofel

Antworten:

14

Dies sind TCP-Verbindungen, die zum Herstellen einer ausgehenden Verbindung zu einer Website verwendet wurden. Sie können anhand des Trailings erkennen, :80welcher Port normalerweise für HTTP-Verbindungen zu Webservern verwendet wird. Nachdem der 3-Wege-TCP-Verbindungs-Handshake abgeschlossen ist, verbleiben die Verbindungen im Status "Warten auf Schließen".

Dieses Bit ist die IP-Adresse Ihres lokalen Systems und der Port, über den die Verbindung zum Remote-Webserver hergestellt wurde:

IP: 192.168.0.100  PORT: 50161

Beispiel

Hier ist die Ausgabe von meinem System mit netstat -ant:

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT

Beachten Sie den Zustand am Ende? Es ist TIME_WAIT. Sie können sich selbst davon überzeugen, indem Sie den -pSchalter hinzufügen , damit wir sehen können, welcher Prozess mit dieser bestimmten Verbindung verbunden ist:

$ sudo netstat -antp | grep 192.168.1.20:54125
$

Dies zeigt, dass kein Prozess damit verbunden war.

slm
quelle
1
Kurz gesagt, für Benutzer ohne Netzwerkkenntnisse sind dies keine separaten Prozesse, sondern Verbindungen, die von meinem Webbrowser hergestellt wurden und die darauf warten, geschlossen zu werden. ( netstatIch kann sehen, ihr Zustand ist LAST_ACK.)
Alex D
@AlexD - ja, sie warten darauf, geschlossen zu werden.
slm