Comment puis-je fermer un processus racine «TCP inconnu» qui apparaît dans Nethogs?

11

Comment puis-je fermer un processus racine "TCP inconnu" qui apparaît dans Nethogs?

Je pense que ma boîte a été pwned et en utilisant nethogs je vois un processus racine de "TCP inconnu". Quelqu'un peut-il me dire s'il s'agit d'un processus attendu, à quoi il peut servir et si / comment je peux le clôturer.

J'ai changé mon mot de passe utilisateur pour essayer d'arrêter cette personne mais je ne sais pas encore si cela suffit. entrez la description de l'image ici

MISE À JOUR Maintenant, je vois aussi cela .. donc pwned? entrez la description de l'image ici

root 
dibs
source
Publiez l'entrée de journal en question.
Panther
@ bodhi.zazen Désolé, comment publier le journal? Où puis-je le trouver?
dibs
2
Publiez une capture d'écran ou plus d'informations sur ce que vous regardez ou utilisez un autre outil, comme sudo netstat -ntulpousudo lsof -i -n -P
Panther
@ bodhi.zazen Cette image vous en dit-elle assez?
dibs
3
Je ne pense pas que vous soyez nécessairement enraciné - Nethogs dit "TCP inconnu" avec 0 octet est attendu: sourceforge.net/p/nethogs/bugs/17
ImaginaryRobots

Réponses:

15

Le package "Nethogs" affichera toujours un faux processus appelé "TCP inconnu", qui correspond à tout ce qu'il ne peut pas identifier. Notez qu'il n'a pas d'ID de processus et que la quantité de données est affichée à 0, indiquant qu'il n'y a pas de trafic inconnu.

Voici la ligne du code source de nethogs où cette ligne est initialisée:

unknowntcp = new Process (0, "", "unknown TCP");

( Téléchargement du code source , regardez dans process.cpp)

Il y a aussi un rapport de bug sur la page sourceforge de nethogs expliquant que c'est normal: http://sourceforge.net/p/nethogs/bugs/17/

Le processus "service de connexion à distance" indiqué est la propriété de l'utilisateur lightdm qui est votre écran de connexion, et n'a envoyé ni reçu aucune donnée. Je ne sais pas s'il fonctionne normalement par défaut, mais il ne semble rien faire avec le réseau dans la capture d'écran que vous avez publiée, il devrait donc également être sûr.

http://packages.ubuntu.com/saucy/remote-login-service

Donc, d'après ce que vous avez publié, rien ne semble sortir de l'ordinaire et (sauf si vous trouvez d'autres preuves de problèmes), votre ordinateur est très probablement sécurisé. Si vous êtes vraiment inquiet, vous pouvez faire une nouvelle installation juste pour être sûr.

ImaginaryRobots
source
Merci pour votre aide. J'ai reçu beaucoup d'autres plages IP apparaissant également dans Nethogs lorsque personne n'utilise la machine. Je pense que j'ai toujours un problème car je semble utiliser environ 500 Mo par heure dans le trafic.
dibs
Cette quantité de trafic est certainement suspecte. Effectuez des sauvegardes, essuyez votre disque dur et effectuez une nouvelle installation à partir d'un DVD d'installation reconnu.
ImaginaryRobots du
1
vous pouvez également installer et exécuter chkrootkit et rkhunter, ce qui devrait aider à détecter les intrusions.
ImaginaryRobots du
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.