¿Cómo saber si los programas misteriosos en la lista de nethogs son malware?

12

Esto es lo que veo en Nethogs:

Captura de pantalla

Me preocupan los listados con PID ?, que se ejecutan como root. ¿Cómo puedo averiguar cuáles son estos? Estoy ejecutando Linux Mint 14.

Avíseme qué otra información debo incluir.

networking malware Alex D
fuente
¿Estás ejecutando nethogs como root? netstat -tapTambién puede mostrar programas relacionados con las conexiones (si se ejecuta como raíz). Las IP parecen ser algunas páginas japonesas de yahoo.
jofel

Respuestas:

14

Esas son conexiones TCP que se usaron para hacer una conexión saliente a un sitio web. Por el seguimiento, puede saber :80cuál es el puerto que se utiliza para las conexiones HTTP a los servidores web, por lo general. Después de que el enlace de conexión TCP de 3 vías se haya completado, las conexiones se dejan en un estado de "espera para cerrar".

Este bit es la dirección IP de su sistema local y ese es el puerto que se utilizó para realizar la conexión al servidor web remoto:

IP: 192.168.0.100  PORT: 50161

Ejemplo

Aquí está la salida de mi sistema usando netstat -ant:

tcp        0      0 192.168.1.20:54125          198.252.206.25:80           TIME_WAIT

¿Ves el estado al final? Es TIME_WAIT. Puede convencerse aún más de esto agregando el -pinterruptor para que podamos ver qué proceso está vinculado / asociado a esta conexión particular:

$ sudo netstat -antp | grep 192.168.1.20:54125
$

Esto muestra que ningún proceso estaba afiliado a esto.

slm
fuente
1
Entonces, para los usuarios que no son expertos en redes, en resumen ... estos no son procesos separados en absoluto, ¿son conexiones realizadas por mi navegador web y que están esperando para cerrarse? ( netstatPuedo ver que su estado es LAST_ACK.)
Alex D
@AlexD: sí, están esperando ser cerrados.
slm