Wie kann ich einen Root-Prozess "unbekannter TCP" schließen, der in Nethogs angezeigt wird?

10

Wie kann ich einen Root-Prozess "unbekannter TCP" schließen, der in Nethogs angezeigt wird?

Ich denke, meine Box wurde pwned und mit Nethogs sehe ich einen Root-Prozess von "unbekanntem TCP". Kann mir jemand sagen, ob dies ein erwarteter Prozess ist, wofür er sein könnte und ob / wie ich ihn schließen kann.

Ich habe mein Benutzerkennwort geändert, um diese Person zu stoppen, bin mir aber noch nicht sicher, ob dies ausreicht. Geben Sie hier die Bildbeschreibung ein

UPDATE Jetzt sehe ich das auch .. so pwned? Geben Sie hier die Bildbeschreibung ein

root 
Dibs
quelle
Veröffentlichen Sie den betreffenden Protokolleintrag.
Panther
@ bodhi.zazen Sorry, wie poste ich das Log? Wo kann ich es finden?
Dibs
2
Veröffentlichen Sie einen Screenshot oder weitere Informationen zu dem, was Sie sich ansehen, oder verwenden Sie ein alternatives Tool wie sudo netstat -ntulpodersudo lsof -i -n -P
Panther
@ bodhi.zazen Sagt dir das Bild genug?
Dibs
3
Ich glaube nicht, dass Sie unbedingt verwurzelt sind - Nethogs sagt, dass "unbekanntes TCP" mit 0 Bytes erwartet wird: sourceforge.net/p/nethogs/bugs/17
ImaginaryRobots

Antworten:

14

Das "Nethogs" -Paket zeigt immer einen gefälschten Prozess namens "unbekannter TCP" an, der allem entspricht, was nicht identifiziert werden kann. Beachten Sie, dass es keine Prozess-ID hat und die Datenmenge als 0 angezeigt wird, was darauf hinweist, dass kein unbekannter Datenverkehr vorhanden ist.

Hier ist die Zeile aus dem Nethogs-Quellcode, in der diese Zeile initialisiert wird:

unknowntcp = new Process (0, "", "unknown TCP");

( Quellcode herunterladen , siehe process.cpp)

Es gibt auch einen Fehlerbericht auf der Nethogs Sourceforge-Seite, der erklärt, dass dies normal ist: http://sourceforge.net/p/nethogs/bugs/17/

Der angezeigte "Remote-Login-Service" -Prozess gehört dem lightdm-Benutzer, der Ihr Anmeldebildschirm ist, und hat keine Daten gesendet oder empfangen. Ich bin mir nicht sicher, ob es normalerweise standardmäßig ausgeführt wird, aber es scheint nichts mit dem Netzwerk in dem von Ihnen geposteten Screenshot zu tun zu haben, daher sollte es auch sicher sein.

http://packages.ubuntu.com/saucy/remote-login-service

Basierend auf dem, was Sie gepostet haben, scheint nichts ungewöhnlich zu sein, und (sofern Sie keine anderen Hinweise auf Probleme finden) Ihr Computer ist höchstwahrscheinlich sicher. Wenn Sie wirklich besorgt sind, können Sie eine Neuinstallation durchführen, um sicherzugehen.

ImaginaryRobots
quelle
Danke für die Hilfe dabei. Ich habe auch viele andere IP-Bereiche in Nethogs gesehen, wenn niemand die Maschine benutzt. Ich glaube, ich habe immer noch ein Problem, da ich im Verkehr ungefähr 500 MB pro Stunde zu verwenden scheine.
Dibs
Diese Menge an Verkehr ist definitiv verdächtig. Erstellen Sie Backups, löschen Sie Ihre Festplatte und führen Sie eine Neuinstallation von einer bekanntermaßen guten Installations-DVD durch.
ImaginaryRobots
1
Möglicherweise möchten Sie auch chkrootkit und rkhunter installieren und ausführen, um Eingriffe zu erkennen.
ImaginaryRobots
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.