Bagaimana cara mengetahui apakah program misterius dalam daftar nethog adalah malware?

12

Inilah yang saya lihat di Nethogs:

Tangkapan layar

Saya khawatir tentang cantuman dengan PID ?, berjalan sebagai root. Bagaimana saya bisa mengetahui apa ini? Saya menjalankan Linux Mint 14.

Tolong beri tahu saya informasi apa yang harus saya sertakan.

networking malware Alex D
sumber
Apakah Anda menjalankan nethogs sebagai root? netstat -tapjuga dapat menampilkan program yang terkait dengan koneksi (jika dijalankan sebagai root). IPs tampaknya beberapa halaman jepang yahoo.
jofel

Jawaban:

14

Itu adalah koneksi TCP yang digunakan untuk membuat koneksi keluar ke situs web. Anda dapat mengetahui dari trailing :80yang merupakan port yang digunakan untuk koneksi HTTP ke server web, biasanya. Setelah 3 cara handshake koneksi TCP selesai, koneksi dibiarkan dalam status "tunggu untuk menutup".

Bit ini adalah alamat IP sistem lokal Anda dan itulah port yang digunakan untuk membuat koneksi ke server web jarak jauh:

IP: 192.168.0.100  PORT: 50161

Contoh

Ini output dari sistem saya menggunakan netstat -ant:

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT

Perhatikan keadaan di bagian akhir? Ini TIME_WAIT. Anda selanjutnya dapat meyakinkan diri sendiri tentang hal ini dengan menambahkan -psakelar sehingga kami dapat melihat proses apa yang terikat / terkait dengan koneksi khusus ini:

$ sudo netstat -antp | grep 192.168.1.20:54125
$

Ini menunjukkan bahwa tidak ada proses yang berafiliasi dengan ini.

slm
sumber
1
Jadi untuk pengguna yang tidak mengerti jaringan, singkatnya ... ini bukan proses yang terpisah sama sekali tetapi apakah koneksi yang dibuat oleh browser web saya, dan yang menunggu untuk ditutup? ( netstatAku bisa melihat keadaan mereka LAST_ACK.)
Alex D
@AlexD - ya mereka sedang menunggu untuk ditutup.
slm