Comment savoir si les programmes mystérieux de la liste des nethogs sont des logiciels malveillants?

12

Voici ce que je vois dans Nethogs:

Capture d'écran

Je suis préoccupé par les listes avec PID ?, fonctionnant en tant que root. Comment savoir ce que c'est? J'utilise Linux Mint 14.

Veuillez me faire savoir quelles autres informations je dois inclure.

networking malware Alex D
la source
Utilisez-vous Nethogs en tant que root? netstat -tappeut également afficher les programmes liés aux connexions (s'il s'exécute en tant que root). Les adresses IP semblent être des pages yahoo japonaises.
jofel

Réponses:

14

Ce sont des connexions TCP qui ont été utilisées pour établir une connexion sortante avec un site Web. À la fin, vous pouvez savoir :80quel est le port utilisé pour les connexions HTTP aux serveurs Web, généralement. Une fois la négociation de la connexion TCP à 3 terminée, les connexions sont laissées dans un état "attente de fermeture".

Ce bit est l'adresse IP de votre système local et c'est le port qui a été utilisé pour établir la connexion avec le serveur Web distant:

IP: 192.168.0.100  PORT: 50161

Exemple

Voici la sortie de mon système en utilisant netstat -ant:

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT

Remarquez l'état à la fin? C'est TIME_WAIT. Vous pouvez vous en convaincre davantage en ajoutant le -pcommutateur afin que nous puissions voir quel processus est lié / associé à cette connexion particulière:

$ sudo netstat -antp | grep 192.168.1.20:54125
$

Cela montre qu'aucun processus n'était associé à cela.

slm
la source
1
Donc, pour les utilisateurs non avertis des réseaux, en bref ... ce ne sont pas des processus distincts du tout, mais sont des connexions qui ont été établies par mon navigateur Web et qui attendent de se fermer? ( netstatJe peux voir que leur état est LAST_ACK.)
Alex D
@AlexD - oui, ils attendent d'être fermés.
slm