Como posso fechar um processo raiz "TCP desconhecido" que aparece nos nethogs?

11

Como posso fechar um processo raiz "TCP desconhecido" que aparece nos nethogs?

Eu acho que minha caixa foi exibida e usando nethogs vejo um processo raiz de "TCP desconhecido". Alguém pode me dizer se esse é um processo esperado, para que serve e se / como eu posso fechá-lo.

Alterei minha senha de usuário para tentar interromper essa pessoa, mas ainda não tenho certeza se isso é suficiente. insira a descrição da imagem aqui

ATUALIZAÇÃO Agora também estou vendo isso ... tão pwned? insira a descrição da imagem aqui

root dibs
fonte
Lance a entrada do log em questão.
Pantera
@ bodhi.zazen Desculpe, como faço para postar o log? Onde posso encontrá-lo?
Dibs
2
Publique uma captura de tela ou mais informações sobre o que você está vendo ou use uma ferramenta alternativa, como sudo netstat -ntulpousudo lsof -i -n -P
Panther
@ bodhi.zazen Essa imagem diz o suficiente?
Dibs
3
Eu não acho que você está necessariamente enraizada - nethogs diz "TCP desconhecido" com 0 bytes é esperado: sourceforge.net/p/nethogs/bugs/17
ImaginaryRobots

Respostas:

15

O pacote "Nethogs" sempre mostrará um processo falso chamado "TCP desconhecido", que corresponde a tudo que não pode ser identificado. Observe que ele não possui um ID de processo e a quantidade de dados é mostrada como 0, indicando que não há tráfego desconhecido.

Aqui está a linha do código-fonte nethogs onde essa linha é inicializada:

unknowntcp = new Process (0, "", "unknown TCP");

( Download do código-fonte , consulte process.cpp)

Também há um relatório de erro na página do nethogs sourceforge, explicando que é normal: http://sourceforge.net/p/nethogs/bugs/17/

O processo "serviço de login remoto" mostrado é de propriedade do usuário lightdm, que é sua tela de login, e não enviou ou recebeu nenhum dado. Não tenho certeza se normalmente é executado por padrão, mas não parece estar fazendo nada com a rede na captura de tela que você postou, por isso também deve ser seguro.

http://packages.ubuntu.com/saucy/remote-login-service

Portanto, com base no que você postou, nada parece fora do comum e (a menos que você encontre outras evidências de problemas), seu computador provavelmente está seguro. Se você estiver realmente preocupado, poderá fazer uma nova instalação apenas para ter certeza.

Robôs Imaginários
fonte
Obrigado pela ajuda com isso. Tenho recebido muitos outros intervalos de IP também nos nethogs quando ninguém está usando a máquina. Acho que ainda tenho um problema, pois parece que estou usando cerca de 500Mb por hora no tráfego.
dibs
Essa quantidade de tráfego é definitivamente suspeita. Faça backups, limpe o disco rígido e faça uma instalação limpa a partir de um DVD de instalador em bom estado.
ImaginaryRobots
1
você também pode instalar e executar o chkrootkit e o rkhunter, o que deve ajudar a detectar invasões.
ImaginaryRobots