Come posso chiudere un processo root "TCP sconosciuto" che compare in nethogs?

11

Come posso chiudere un processo root "TCP sconosciuto" che compare in nethogs?

Penso che la mia scatola sia stata sviluppata e usando nethogs vedo un processo di root di "TCP sconosciuto". Qualcuno può dirmi se questo è un processo previsto, a cosa potrebbe servire e se / come posso chiuderlo.

Ho cambiato la mia password utente per provare a fermare questa persona ma non sono ancora sicuro che sia abbastanza. inserisci qui la descrizione dell'immagine

AGGIORNAMENTO Ora vedo anche questo .. così arato? inserisci qui la descrizione dell'immagine

root 
ossetti di pecora
fonte
Pubblica la voce di registro in questione.
Pantera
@ bodhi.zazen Siamo spiacenti, come posso pubblicare il registro? Dove posso trovarlo?
martedì
2
Pubblica uno screenshot o ulteriori informazioni su ciò che stai guardando o utilizza uno strumento alternativo, come sudo netstat -ntulposudo lsof -i -n -P
Panther
@ bodhi.zazen Quell'immagine ti dice abbastanza?
martedì
3
Non credo che tu sia necessariamente rootato - nethogs dice che è previsto "TCP sconosciuto" con 0 byte: sourceforge.net/p/nethogs/bugs/17
ImaginaryRobots

Risposte:

15

Il pacchetto "Nethogs" mostrerà sempre un processo falso chiamato "TCP sconosciuto", che corrisponde a tutto ciò che non è in grado di identificare. Si noti che non ha un ID processo e la quantità di dati viene visualizzata come 0, a indicare che non vi è traffico sconosciuto.

Ecco la riga dal codice sorgente di nethogs in cui quella riga viene inizializzata:

unknowntcp = new Process (0, "", "unknown TCP");

( Download del codice sorgente , cerca in process.cpp)

C'è anche una segnalazione di bug nella pagina sourceforge di nethogs che spiega che è normale: http://sourceforge.net/p/nethogs/bugs/17/

Il processo di "accesso remoto" mostrato è di proprietà dell'utente lightdm che è la schermata di accesso e non ha inviato o ricevuto alcun dato. Non sono sicuro che funzioni normalmente, ma non sembra fare nulla con la rete nello screenshot che hai pubblicato, quindi dovrebbe anche essere sicuro.

http://packages.ubuntu.com/saucy/remote-login-service

Quindi, in base a ciò che hai pubblicato, nulla sembra essere fuori dall'ordinario e (a meno che non trovi altre prove di problemi) il tuo computer è molto probabilmente sicuro. Se sei veramente preoccupato, potresti fare una nuova installazione solo per essere sicuro.

ImaginaryRobots
fonte
Grazie per l'aiuto. Ho ricevuto molte altre gamme di ip anche nei nethogs quando nessuno sta usando la macchina. Penso di avere ancora un problema poiché sembra che stia usando circa 500 Mb all'ora nel traffico.
sal
Quella quantità di traffico è decisamente sospetta. Eseguire backup, cancellare il disco rigido ed eseguire un'installazione pulita da un DVD di installazione noto.
ImaginaryRobots
1
potresti anche voler installare ed eseguire chkrootkit e rkhunter, il che dovrebbe aiutare a rilevare le intrusioni.
ImaginaryRobots
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.