Tengo Ubuntu 14.10. ¿Cómo verifico si mi Ubuntu es parte de una botnet? Estas son las direcciones que encontré con netstat:
tcp ESTAB 0 0 192.168.5.122:33195 213.199.179.157:40016
tcp ESTAB 0 0 192.168.5.122:52340 64.4.47.18:https
tcp ESTAB 0 0 192.168.5.122:51396 157.56.53.41:12350
tcp ESTAB 0 0 192.168.5.122:38527 157.56.194.8:https
tcp ESTAB 0 0 ::ffff:192.168.5.122:54152 ::ffff:74.125.71.125:xmpp-client
tcp ESTAB 0 0 ::ffff:192.168.5.122:33257 ::ffff:173.252.106.17:xmpp-client
tcp ESTAB 0 0 ::ffff:192.168.5.122:36003 ::ffff:64.233.167.125:xmpp-client
Esto es lo que netstat -tlnpha demostrado:
(Not all processes could be identified, non-owned process info
will not be shown, you would have to be root to see it all.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:15668 0.0.0.0:* LISTEN 11551/skype
tcp 0 0 127.0.1.1:53 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:2628 0.0.0.0:* LISTEN -
tcp6 0 0 ::1:13113 :::* LISTEN 11552/java
tcp6 0 0 :::25 :::* LISTEN -
Respuesta1
Debe rastrear cada programa que se ejecuta en esos puertos. ¿Estás ejecutando xmpp tú mismo? ¿Está ejecutando un navegador web? Específicamente, ¿qué se conecta a los puertos 40016 y 12350?
lsof -i TCP:40016
lsof -i TCP:12350
lsof -i TCP:xmpp-client
es posible que tengas que sudorlos.