Suppression de botnet Linux

Je crains que je suis sous une prise de contrôle de botnet linux.

sudo netstat -antpv avec tous les navigateurs fermés, en plus des autres résultats, renvoie ceci:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.0.100:48090     216.58.197.67:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:49130     216.58.197.68:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:47830     74.125.200.190:443      TIME_WAIT   -               
tcp        0      0 192.168.0.100:33494     216.58.197.81:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:42121     216.58.220.42:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:33497     216.58.197.81:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:40590     198.41.215.68:443       TIME_WAIT   -               

Ces adresses IP ne cessent de changer. Ces adresses appartiennent à

http://104.244.43.39.ipaddress.com (gazouillement)

http://54.192.159.56.ipaddress.com (cloudfront / amazon

http://216.58.197.67.ipaddress.com (google) (idem pour le reste des ips de cette série)

http://74.125.200.190.ipaddress.com (Google)

http://198.41.215.68.ipaddress.com (nuage de nuages)

Donc, voici mes questions:

1) Est-ce que je lis ceci? En supposant que

2) Comment déterminer les processus qui le font

3) Comment puis-je me protéger? Existe-t-il de bonnes solutions antivirus Linux?

4) Qu'est-ce qui se passe? Je peux comprendre le spamming sur Twitter, mais qu'en est-il de Google? Cliquent-ils sur les liens Google pour le référencement?

5) Comment puis-je m'en débarrasser pronto?

1) Est-ce que je lis ceci?

Tous les liens que vous nous montrez sont déjà fermés.

Si vous avez utilisé un navigateur Web (et que vous avez visité une page Web contenant l’icône twitter-link), cela semble parfaitement normal.

Cela ne veut pas dire que vous ne pourriez pas être infecté d'une manière ou d'une autre, mais TIME_WAIT est un état dans lequel nous avions déjà un lien, mais celui-ci est déjà fermé et en cours de nettoyage.

Fermer une connexion TCP ressemble à ceci (simplifié):

2) Comment déterminer les processus qui le font

Pour le moment, ces processus sont déjà partis. Essayez de surveiller pour trouver celle qui est ESTABLISHED, puis essayez de trouver quelle application utilise cette connexion. J'ai l'impression que ce sera votre navigateur.

3) Comment puis-je me protéger? Existe-t-il de bonnes solutions antivirus Linux?

Solutions standard: Ne pas exécuter en tant que root. Faites preuve de bon sens lorsque vous cliquez sur un élément, maintenez votre système d'exploitation et vos applications à jour.

Que ce passe-t-il? Je peux comprendre le spamming de Twitter,   mais qu'en est-il de google? Cliquent-ils sur les liens Google pour le référencement?

Sur Windows, j'ai remarqué la même chose lorsque Firefox ajoutait des suggestions à mes recherches. Beaucoup de liens actifs à Google. Pas seulement la page Web. Et si je visite une page Web contenant un lien vers Facebook ou Twitter, elle peut également ouvrir une connexion à leur site. (Même s'il est innocent s'il télécharge uniquement le logo Twitter depuis le site de twitters).

En ce qui concerne le cloudfare: il s’agit d’un réseau de distribution de contenu (Content Distribution Network, CND). Presque tout peut déclencher ceux-ci, y compris Google et Twitter.

5) Comment puis-je m'en débarrasser pronto?

Redémarrer.

Connectez-vous (non graphique) et vérifiez s'il n'y a pas de connexion.
Ensuite, démarrez votre environnement graphique (et les applications de démarrage automatique possibles). Revérifier. Lancez vos programmes préférés, un par un. Vérifiez à nouveau après chaque ...