nethogsリストの神秘的なプログラムがマルウェアであるかどうかを確認する方法は?

12

これは私がNethogsで見るものです:

スクリーンショット

?として実行しているPIDのリストが心配ですroot。これらが何であるかを知るにはどうすればよいですか?Linux Mint 14を実行しています。

他にどんな情報を含めるべきか教えてください。

networking  malware 
アレックスD
ソース
Nethogsをルートとして実行していますか?netstat -tap接続に関連するプログラムを表示することもできます(rootとして実行されている場合)。IPは、日本のyahooページのようです。
ジョフェル

回答:

14

これらは、Webサイトへの発信接続を行うために使用されたTCP接続です。:80通常、WebサーバーへのHTTP接続に使用されるポートは、末尾からわかります。3ウェイTCP接続ハンドシェイクが完了すると、接続は「閉じるまで待機」状態のままになります。

このビットは、ローカルシステムのIPアドレスであり、リモートWebサーバーへの接続に使用されたポートです。

IP: 192.168.0.100  PORT: 50161

以下は、私のシステムからの出力netstat -antです:

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT

最後の状態に注意してください。TIME_WAITです。-pスイッチを追加して、この特定の接続にバインド/関連付けられているプロセスを確認できるようにすることで、このことをさらに確信させることができます。

$ sudo netstat -antp | grep 192.168.1.20:54125
$

これは、これに関連するプロセスがなかったことを示しています。

slm
ソース
1
つまり、ネットワークに精通していないユーザーの場合、要するに...これらはまったく別のプロセスではなく、Webブラウザによって作成された接続であり、閉じるのを待っているのでしょうか?(netstat私は彼らの状態を見ることができますLAST_ACK。)
アレックスD
@AlexD-はい、彼らは閉じられるのを待っています。
slm
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.