Come sapere se i programmi misteriosi nella lista dei nethogs sono malware?

Questo è quello che vedo in Nethogs:

Immagine dello schermo

Sono preoccupato per le inserzioni con PID ?, in esecuzione come root. Come posso scoprire cosa sono questi? Sto usando Linux Mint 14.

Per favore fatemi sapere quali altre informazioni dovrei includere.

networking malware

— Alex D
fonte

Stai eseguendo nethogs come root? netstat -tappuò anche mostrare programmi relativi alle connessioni (se funziona come root). Gli IP sembrano essere alcune pagine yahoo giapponesi.

— jofel,

Quelle sono connessioni TCP utilizzate per stabilire una connessione in uscita a un sito Web. Dal trailing si può capire :80quale è la porta utilizzata per le connessioni HTTP ai server Web, in genere. Al termine dell'handshake di connessione TCP a 3 vie, le connessioni vengono lasciate in uno stato di "attesa di chiusura".

Questo bit è l'indirizzo IP del sistema locale e questa è la porta utilizzata per stabilire la connessione al server Web remoto:

IP: 192.168.0.100  PORT: 50161

Esempio

Ecco l'output dal mio sistema usando netstat -ant:

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT

Notare lo stato alla fine? Sono TIME_WAIT. Puoi convincerti ulteriormente di ciò aggiungendo lo -pswitch in modo da poter vedere quale processo è associato / associato a questa particolare connessione:

$ sudo netstat -antp | grep 192.168.1.20:54125
$

Ciò dimostra che nessun processo è stato affiliato con questo.

— slm
fonte

Quindi, per gli utenti non esperti di rete, in breve ... questi non sono affatto processi separati ma sono connessioni che sono state fatte dal mio browser Web e che sono in attesa di chiusura? (In netstatposso vedere il loro stato è LAST_ACK.)

— Alex D

@AlexD - sì, stanno aspettando di essere chiusi.

— slm