Làm thế nào để biết các chương trình bí ẩn trong danh sách nethogs có phải là phần mềm độc hại không?


12

Đây là những gì tôi thấy trong Nethogs:

Ảnh chụp màn hình

Tôi lo ngại về các danh sách với PID ?, chạy như root. Làm thế nào tôi có thể tìm ra những gì đang có? Tôi đang chạy Linux Mint 14.

Xin vui lòng cho tôi biết những thông tin khác tôi nên bao gồm.


Bạn đang chạy nethogs với quyền root? netstat -tapcũng có thể hiển thị các chương trình liên quan đến các kết nối (nếu nó chạy bằng root). Các IP dường như là một số trang yahoo Nhật Bản.
jofel

Câu trả lời:


14

Đó là những kết nối TCP được sử dụng để tạo kết nối đi đến một trang web. Thông thường, bạn có thể biết đường dẫn :80là cổng được sử dụng cho các kết nối HTTP đến các máy chủ web. Sau khi bắt đầu kết nối TCP 3 cách, các kết nối sẽ ở trạng thái "chờ đóng".

Bit này là địa chỉ IP của hệ thống cục bộ của bạn và đó là cổng được sử dụng để tạo kết nối với máy chủ web từ xa:

IP: 192.168.0.100  PORT: 50161

Thí dụ

Đây là đầu ra từ hệ thống của tôi bằng cách sử dụng netstat -ant:

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT   

Thông báo trạng thái ở cuối? Đó là TIME_WAIT. Bạn có thể thuyết phục bản thân hơn về điều này bằng cách thêm công -ptắc để chúng tôi có thể thấy quá trình nào bị ràng buộc / liên quan đến kết nối cụ thể này:

$ sudo netstat -antp | grep 192.168.1.20:54125
$

Điều này cho thấy rằng không có quá trình được liên kết với điều này.


1
Vì vậy, đối với những người dùng không am hiểu về mạng, tóm lại ... đây không phải là các quy trình riêng biệt mà là các kết nối được tạo bởi trình duyệt web của tôi và đang chờ đóng? (Trong netstattôi có thể thấy trạng thái của họ là LAST_ACK.)
Alex D

@AlexD - vâng, họ đang chờ để được đóng lại.
slm
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.