Linux iftop tem muitas entradas confusas aparecendo

0

Instalei o iftop versão 1.0 na minha caixa do Fedora 17 e executei-o. Eu estou recebendo um monte de linhas estranhas aparecendo quando o computador está completamente ocioso após a inicialização sem programas em execução. Estou preocupado que minha caixa de linux tenha malware nela que está em contato com a nave-mãe da botnet.

Que passos posso dar para descobrir o que está causando essas linhas estranhas exibindo cada segundo no iftop e determinar o que elas causam?

As linhas estranhas que aparecem são do Brasil (.br), da Índia (.in), da África do Sul (.za) e de outros países. Eu gostaria de saber o que está acontecendo aqui e os passos que eu posso dar para aliviar minha mente.

    
por Eric Leschinski 11.08.2013 / 19:07

1 resposta

0

Se iftop estiver relatando conexões com outros países, isso significa que há um programa em execução no seu computador que está iniciando essas conexões ou um programa em outro computador que está iniciando essas conexões com você. A questão torna-se localizar qual programa está iniciando essas conexões.

Etapas para descobrir o que está causando essas conexões:

Procure um programa iniciando conexões em segundo plano em seu nome que você não conhece ou esqueceu. Execute o comando top em outra janela de terminal e faça uma captura de tela dos primeiros 100 processos lá. Tire um tempo para entender o que cada um é e o que cada um é responsável. Pare todos os processos na lista top que você conhece.

Se você tiver tarefas em segundo plano, como daemons, bancos de dados, programas de torrents, mensagens instantâneas, tarefas em segundo plano, scripts ou qualquer outra coisa, pare-os todos. Você quer que seu computador não faça nada, então você pode identificar o programa ofensivo, ou se o programa ofensivo estiver oculto.

Uma vez que eu parei todos os programas que não eram um processo do sistema operacional na minha caixa Linux, então iftop ficou em silêncio. Fui então capaz de usar o processo de eliminação para encontrar o programa que estava lançando todas as conexões.

Se iftop ainda relatar conexões em um sistema operacional vazio, pode haver um programa oculto para iniciá-las ou um programa na rede interna ou externa responsável.

Você pode criar um disco de inicialização do sistema operacional e carregá-lo com um novo SO e executar iftop , para identificar se a caixa está iniciando as conexões ou se o seu computador está recebendo conexões de outro nó na rede interna ou na rede externa.

Para mim, era um tapinha na testa, um programa que deixei correndo no fundo de muito tempo atrás. Eu estava meio que esperando encontrar um tentáculo de uma rede de bots.

    
por 11.08.2013 / 19:07

Tags