Bagaimana saya bisa menutup proses root "TCP tidak dikenal" yang muncul di nethogs?

11

Bagaimana saya bisa menutup proses root "TCP tidak dikenal" yang muncul di nethogs?

Saya pikir kotak saya telah di-pwned dan menggunakan nethogs saya melihat proses root "TCP tidak dikenal". Adakah yang bisa memberi tahu saya jika ini proses yang diharapkan, untuk apa dan jika / bagaimana saya bisa menutupnya.

Saya mengubah kata sandi pengguna saya untuk mencoba dan menghentikan orang ini tetapi saya belum yakin apakah itu cukup. masukkan deskripsi gambar di sini

UPDATE Sekarang saya juga melihat ini .. jadi pwned? masukkan deskripsi gambar di sini

root 
dibs
sumber
Posting entri log yang dimaksud.
Panther
@ bodhi.zazen Maaf, bagaimana cara mengirim log? Di mana saya bisa menemukannya?
dibs
2
Posting tangkapan layar atau informasi lebih lanjut tentang apa yang Anda lihat atau gunakan alat alternatif, seperti sudo netstat -ntulpatausudo lsof -i -n -P
Panther
@ bodhi.zazen Apakah gambar itu cukup memberi tahu Anda?
dibs
3
Saya tidak berpikir Anda perlu di-root - nethogs mengatakan "TCP tidak dikenal" dengan 0 byte diharapkan: sourceforge.net/p/nethogs/bugs/17
ImaginaryRobots

Jawaban:

15

Paket "Nethogs" akan selalu menampilkan proses palsu yang disebut "TCP tidak dikenal", yang sesuai dengan semua yang tidak dapat diidentifikasi. Perhatikan bahwa itu tidak memiliki ID proses, dan jumlah data ditampilkan sebagai 0, menunjukkan bahwa tidak ada lalu lintas yang tidak diketahui.

Inilah baris dari kode sumber nethogs di mana baris tersebut diinisialisasi:

unknowntcp = new Process (0, "", "unknown TCP");

( Unduhan kode sumber , lihat di process.cpp)

Ada juga laporan bug pada halaman sourceforge nethogs yang menjelaskan bahwa itu normal: http://sourceforge.net/p/nethogs/bugs/17/

Proses "layanan masuk-jauh" yang ditampilkan dimiliki oleh pengguna lightdm yang merupakan layar masuk Anda, dan belum mengirim atau menerima data apa pun. Saya tidak yakin apakah itu biasanya berjalan secara default, tetapi sepertinya tidak melakukan apa-apa dengan jaringan di tangkapan layar yang Anda posting, jadi itu juga harus aman.

http://packages.ubuntu.com/saucy/remote-login-service

Jadi, berdasarkan apa yang Anda posting, tampaknya tidak ada yang luar biasa dan (kecuali jika Anda menemukan bukti masalah lainnya) komputer Anda kemungkinan besar aman. Jika Anda benar-benar khawatir, Anda dapat melakukan instalasi baru hanya untuk memastikan.

ImaginaryRobots
sumber
Terima kasih atas bantuannya. Saya telah mendapatkan banyak rentang ip lain yang muncul di nethog juga ketika tidak ada yang menggunakan mesin. Saya pikir saya masih memiliki masalah karena saya tampaknya menggunakan sekitar 500Mb per jam dalam lalu lintas.
dibs
Jumlah traffic itu pasti mencurigakan. Buat cadangan, bersihkan hard drive Anda, dan lakukan instalasi bersih dari DVD installer yang dikenal baik.
ImaginaryRobots
1
Anda mungkin juga ingin menginstal dan menjalankan chkrootkit dan rkhunter, yang seharusnya membantu mendeteksi intrusi.
ImaginaryRobots
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.