Descobri que este comando estava associado a psad, um subdiretório estranho whois_psad mas não parece ser parte do diretório e comando regular. Eu removi os arquivos associados e não tive o usuário subir desde.
Eu fiz um pouco de hardening, adicionei um monte de regras ao meu firewall, removi as permissões do NTP e a porta restrita 123. Mas agora eu recebo uma entrada estranha no meu comando lsof ao olhar para as conexões em execução.
flossco@flossco-mypc:/etc$ sudo lsof -i -n -P
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
master 1486 root 12u IPv4 20915 0t0 TCP 127.0.0.1:25 (LISTEN)
whois_psa 4054 root 3u IPv4 99211 0t0 TCP <myip>->202.12.29.220:43 (SYN_SENT)
Como descubro quem é esse usuário whois_psa e o que eles estão fazendo com minhas conexões? Meu nome de usuário é flossco e registros anteriores estavam em meu nome - o que mudou? Não consigo encontrar nada sobre isso na internet. Isso é parte da minha tentativa de endurecer meu linux contra ataques recentes. Não sei se está tudo bem ou não.
Descobri que este comando estava associado a psad, um subdiretório estranho whois_psad mas não parece ser parte do diretório e comando regular. Eu removi os arquivos associados e não tive o usuário subir desde.