現在、OVH から専用サーバーを借りており、nethogs を見て、特定のプロセスが使用している接続容量を確認していました。しかし、名前に基づいて、世界中の IP (これまでのところ、リストには中国、ブラジル、米国 (複数の州)、スウェーデン、英国、オランダが含まれています) と通信している、承認していない多数のプロセスが見つかりました。これらのプロセスの表の行全体は、 という形式になります? root <my server's ip>-<some other ip>
。nethogs を root として実行しても、これは変わりません。netstat を使用してこれらの PID を調べようとすると、PID/コマンドが に等しいという結果になります-
。サーバーがハッキングされたと思って必死にグーグルで検索したところ、これらは NFS とほぼ同じようにネットワークを使用しているカーネル モジュールであるというアイデアが浮かびました。lsmod を見ると、正当に聞こえるが見覚えのない名前が多数あるため、役に立ちません。それでも、不正なモジュールが自分自身を別の名前で呼ぶ可能性があります。そのため、これらの接続を特定のカーネル モジュールに結び付ける方法を尋ね、何が起こっているのかをさらに調査したいと思います。
ありがとう
答え1
カーネル内の NFS サーバーは、このようにネットワーク レポートを妨害しません。また、モジュールは通常、あなたが説明しているようなネットワークまたはそのレポートとの関係を示しません。特権コマンドまたはセキュリティ保護されたコマンドのプロセスの詳細を表示できないことを説明している可能性がありますが、これは、調査を root ユーザーまたは同様のユーザーとして実行していないことが原因です。
PID またはコマンド フィールドのダッシュは、そこに表示できるデータはあるものの、そのデータにはアクセスできないことを意味します。調査コマンドを root として再実行すると、ダッシュが使用可能なデータに置き換えられていることがわかります。
この種のトラフィックが望ましくないかどうかを判断するには、そもそもサーバーが何をすべきかを知っておくことが、誤った方向に進む原因を排除するのに役立ちます。