Ich miete derzeit einen dedizierten Server von OVH und habe mir nethogs angesehen, um zu sehen, wie viel Verbindungskapazität ein bestimmter Prozess nutzt. Ich habe dort jedoch eine Menge Prozesse gefunden, die ich nicht autorisiert habe und die anhand ihrer Namen mit IPs auf der ganzen Welt kommunizieren (bisher umfasst die Liste China, Brasilien, die USA (mehrere Staaten), Schweden, das Vereinigte Königreich und die Niederlande). Die vollständigen Zeilen in der Tabelle für diese Prozesse haben die Form ? root <my server's ip>-<some other ip>
. Das Ausführen von nethogs als Root ändert daran nichts. Wenn ich mit netstat versuche, die PID dieser Prozesse herauszufinden, wird angezeigt, dass PID/Befehl gleich ist -
. Nachdem ich dachte, mein Server sei gehackt worden, habe ich hektisch gegoogelt und bin auf die Idee gekommen, dass dies Kernelmodule sind, die das Netzwerk auf ziemlich dieselbe Weise verwenden wie NFS. Wenn ich in lsmod nachschaue, sehe ich eine große Anzahl legitim klingender Namen, die ich nicht erkenne, also ist das nicht hilfreich. Trotzdem könnte sich ein Schurkenmodul anders nennen. Aus diesem Grund möchte ich fragen, wie ich diese Verbindungen mit bestimmten Kernelmodulen verknüpfen kann, und dann weitere Untersuchungen durchführen, um herauszufinden, was los ist.
Danke
Antwort1
Der NFS-Server im Kernel untergräbt die Netzwerkberichterstattung nicht auf diese Weise, und auch Module weisen normalerweise nicht die Art von Beziehung zu Netzwerken oder deren Berichterstattung auf, die Sie beschreiben. Möglicherweise beschreiben Sie, dass Sie Prozessdetails von privilegierten oder gesicherten Befehlen nicht sehen können, und dies wäre das Ergebnis davon, dass Sie Ihre Untersuchung nicht als Root-Benutzer oder Ähnliches ausgeführt haben.
Die Bindestriche in Ihren PID- oder Befehlsfeldern bedeuten, dass dort zwar Daten zu sehen sind, Sie jedoch keinen Zugriff darauf haben. Führen Sie Ihre Untersuchungsbefehle erneut als Root aus, und Sie sollten sehen, dass diese Bindestriche durch verwertbare Daten ersetzt wurden.
Um festzustellen, ob diese Art von Datenverkehr unerwünscht ist, ist es hilfreich zu wissen, was der Server überhaupt tun soll, um falsche Fährten zu vermeiden.