¿Cómo puedo cerrar un proceso raíz "TCP desconocido" que aparece en nethogs?

11

¿Cómo puedo cerrar un proceso raíz "TCP desconocido" que aparece en nethogs?

Creo que mi caja ha sido pwned y usando nethogs veo un proceso raíz de "TCP desconocido". ¿Alguien puede decirme si este es un proceso esperado, para qué puede ser y si / cómo puedo cerrarlo?

Cambié mi contraseña de usuario para intentar detener a esta persona, pero aún no estoy seguro de si eso es suficiente. ingrese la descripción de la imagen aquí

ACTUALIZACIÓN Ahora también estoy viendo esto ... ¿tan empeñado? ingrese la descripción de la imagen aquí

root 
parné
fuente
Publique la entrada de registro en cuestión.
Panther
@ bodhi.zazen Lo siento, ¿cómo publico el registro? ¿Dónde puedo encontrarlo?
Dibs
2
Publique una captura de pantalla o más información sobre lo que está viendo o use una herramienta alternativa, como sudo netstat -ntulposudo lsof -i -n -P
Panther
@ bodhi.zazen ¿Esa imagen te dice lo suficiente?
Dibs
3
No creo que esté necesariamente rooteado: nethogs dice que se espera "TCP desconocido" con 0 bytes: sourceforge.net/p/nethogs/bugs/17
ImaginaryRobots

Respuestas:

15

El paquete "Nethogs" siempre mostrará un proceso falso llamado "TCP desconocido", que corresponde a todo lo que no puede identificar. Tenga en cuenta que no tiene una ID de proceso, y la cantidad de datos se muestra como 0, lo que indica que no hay tráfico desconocido.

Aquí está la línea del código fuente de nethogs donde se inicializa esa línea:

unknowntcp = new Process (0, "", "unknown TCP");

( Descarga del código fuente , mira en process.cpp)

También hay un informe de error en la página de sourceforge de nethogs que explica que es normal: http://sourceforge.net/p/nethogs/bugs/17/

El proceso de "servicio de inicio de sesión remoto" que se muestra es propiedad del usuario lightdm, que es su pantalla de inicio de sesión y no ha enviado ni recibido ningún dato. No estoy seguro de si normalmente se ejecuta de manera predeterminada, pero no parece estar haciendo nada con la red en la captura de pantalla que publicaste, por lo que también debería ser seguro.

http://packages.ubuntu.com/saucy/remote-login-service

Por lo tanto, según lo que ha publicado, nada parece estar fuera de lo común y (a menos que encuentre otra evidencia de problemas) es muy probable que su computadora sea segura. Si está realmente preocupado, puede hacer una instalación nueva solo para estar seguro.

Robots imaginarios
fuente
Gracias por la ayuda con esto. También he recibido muchos otros rangos de IP en nethogs cuando nadie está usando la máquina. Creo que todavía tengo un problema, ya que parece que estoy usando alrededor de 500 Mb por hora en el tráfico.
Dibs
Esa cantidad de tráfico es definitivamente sospechosa. Realice copias de seguridad, limpie su disco duro y realice una instalación limpia desde un DVD instalador en buen estado.
ImaginaryRobots
1
También es posible que desee instalar y ejecutar chkrootkit y rkhunter, lo que debería ayudar a detectar intrusiones.
ImaginaryRobots
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.