nethogs에 나타나는 루트 프로세스“알 수없는 TCP”를 닫으려면 어떻게해야합니까?

11

nethogs에 나타나는 루트 프로세스 "알 수없는 TCP"를 닫으려면 어떻게해야합니까?

내 상자가 pwn되어 있고 nethogs를 사용하여 "알 수없는 TCP"의 루트 프로세스가 보인다고 생각합니다. 누구든지 이것이 예상되는 프로세스인지, 프로세스가 무엇인지, 프로세스를 닫을 수 있는지 여부를 말해 줄 수 있습니까?

이 사용자를 시도하고 중지하기 위해 사용자 비밀번호를 변경했지만 그 정도면 아직 확실하지 않습니다. 여기에 이미지 설명을 입력하십시오

업데이트 이제 나는 이것을보고있다. 여기에 이미지 설명을 입력하십시오

root 

소스
문제의 로그 항목을 게시하십시오.
Panther
@ bodhi.zazen 죄송합니다. 로그는 어떻게 올리나요? 어디서 찾을 수 있습니까?
2
, 다른 도구를 당신이보고있는 것에 대한 스크린 샷이나 자세한 내용을 게시 또는 사용 등 sudo netstat -ntulp이나sudo lsof -i -n -P
팬더
@ bodhi.zazen 그 이미지가 충분히 말합니까?
3
nethogs는 0 바이트의 "알 수없는 TCP"가 필요하다고 말합니다. sourceforge.net/p/nethogs/bugs/17
ImaginaryRobots

답변:

15

"Nethogs"패키지에는 항상 "알 수없는 TCP"라는 가짜 프로세스가 표시되어 식별 할 수없는 모든 것에 해당합니다. 프로세스 ID가없고 데이터 양이 0으로 표시되어 알 수없는 트래픽이 없음을 나타냅니다.

다음은 nethogs 소스 코드에서 해당 행이 초기화되는 행입니다.

unknowntcp = new Process (0, "", "unknown TCP");

( 소스 코드 다운로드 , process.cpp 참조)

nethogs sourceforge 페이지에는 정상임을 설명하는 버그 보고서도 있습니다. http://sourceforge.net/p/nethogs/bugs/17/

표시된 "원격 로그인 서비스"프로세스는 로그인 화면 인 lightdm 사용자가 소유하며 데이터를 보내거나받지 못했습니다. 기본적으로 정상적으로 실행되는지 확실하지 않지만 게시 한 스크린 샷에서 네트워크와 관련이없는 것처럼 보이므로 안전해야합니다.

http://packages.ubuntu.com/saucy/remote-login-service

따라서 게시 한 내용을 기반으로 평범하지 않은 것으로 보이지 않으며 (문제의 다른 증거가없는 한) 컴퓨터가 가장 안전합니다. 당신이 정말로 걱정한다면, 당신은 확실하게 새로 설치를 할 수 있습니다.

상상의 로봇
소스
도움을 주셔서 감사합니다. 아무도 컴퓨터를 사용하지 않을 때 nethogs에도 다른 IP 범위가 많이 나타납니다. 트래픽에서 시간당 약 500Mb를 사용하는 것처럼 보이는데 여전히 문제가 있다고 생각합니다.
그 양의 트래픽은 확실히 의심 스럽습니다. 백업을 수행하고 하드 드라이브를 닦은 후 알려진 설치 프로그램 DVD에서 새로 설치하십시오.
ImaginaryRobots
1
chkrootkit 및 rkhunter를 설치하고 실행하여 침입을 탐지하는 데 도움이 될 수도 있습니다.
ImaginaryRobots
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.