Como saber se programas misteriosos na listagem nethogs são malware?

12

Isso é o que eu vejo em Nethogs:

Estou preocupado com as listagens com PID ? , sendo executadas como root . Como posso descobrir quais são esses? Estou executando o Linux Mint 14.

Por favor, deixe-me saber que outras informações devo incluir.

    
por Alex D 17.09.2013 / 15:39

1 resposta

13

Essas são conexões TCP que foram usadas para fazer uma conexão de saída para um site. Você pode dizer a partir do :80 , que é a porta usada para conexões HTTP com servidores da Web, normalmente. Após o término do handshake de conexão TCP de 3 vias, as conexões são deixadas em um estado de "espera para fechar".

Esse bit é o endereço IP do seu sistema local e essa é a porta usada para estabelecer a conexão com o servidor da Web remoto:

IP: 192.168.0.100  PORT: 50161

Exemplo

Aqui está a saída do meu sistema usando netstat -ant :

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT   

Observe o estado no final? É TIME_WAIT. Você também pode se convencer disso adicionando a opção -p para que possamos ver qual processo está vinculado / associado a essa conexão específica:

$ sudo netstat -antp | grep 192.168.1.20:54125
$

Isso mostra que nenhum processo foi afiliado a isso.

    
por 17.09.2013 / 15:47