Como saber se programas misteriosos na lista de nethogs são malware?

12

É o que vejo em Nethogs:

Captura de tela

Estou preocupado com as listagens com PID ?, executando como root. Como posso descobrir o que é isso? Estou executando o Linux Mint 14.

Informe-me que outras informações devo incluir.

networking malware Alex D
fonte
Você está executando nethogs como root? netstat -taptambém pode mostrar programas relacionados às conexões (se executadas como root). Os IPs parecem ser algumas páginas do yahoo no Japão.
Jofel

Respostas:

14

Essas são conexões TCP que foram usadas para fazer uma conexão de saída com um site. Você pode dizer, a partir do final, :80qual é a porta usada para conexões HTTP com servidores da Web, normalmente. Após o handshake de conexão TCP de três vias, as conexões são deixadas no estado "aguarde para fechar".

Esse bit é o endereço IP do seu sistema local e é a porta usada para fazer a conexão com o servidor da Web remoto:

IP: 192.168.0.100  PORT: 50161

Exemplo

Aqui está a saída do meu sistema usando netstat -ant:

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT

Observe o estado no final? É TIME_WAIT. Você pode se convencer disso adicionando a -popção para que possamos ver qual processo está associado / associado a essa conexão específica:

$ sudo netstat -antp | grep 192.168.1.20:54125
$

Isso mostra que nenhum processo foi afiliado a isso.

slm
fonte
1
Então, para usuários que não conhecem a rede, em suma ... esses não são processos separados, mas conexões que foram feitas pelo meu navegador da Web e que estão aguardando para fechar? (Em netstatque pode ver o seu estado é LAST_ACK.)
Alex D
@ AlexD - sim, eles estão esperando para serem fechados.
slm