Por alguns dias eu tenho visto atividades suspeitas no meu host Ubuntu. Quando eu executo o meu computador, ouço que o HDD está trabalhando duro, como fazer muitas operações ao mesmo tempo. Tal comportamento estranho me forçou a pensar. No começo eu olhei através da conexão de rede. Toda vez que o sistema inicia, eu digito o comando:
sudo netstat -natp
e saída se parece com:
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN 1616/dnsmasq
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1235/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 2662/cupsd
tcp 0 0 127.0.0.1:9050 0.0.0.0:* LISTEN 1433/tor
192.168.xxx.xxx:55684 13.73.163.15:8080 ESTABLISHED 1433/tor
192.168.xxx.xxx:45720 185.21.216.157:9003 ESTABLISHED 1433/tor
O que devo fazer em seguida para encontrar o código maligno responsável por estabelecer conexão com o endereço IP suspeito?
Obrigado pela sua ajuda