¿Cómo puedo determinar qué módulo del kernel es responsable de que se muestre una conexión específica en NetHogs?

¿Cómo puedo determinar qué módulo del kernel es responsable de que se muestre una conexión específica en NetHogs?

Actualmente alquilo un servidor dedicado de OVH y estuve mirando nethogs para ver cuánta capacidad de conexión estaba utilizando un proceso específico. Sin embargo, terminé encontrando allí una serie de procesos que no autoricé y que se comunican con IP en todo el mundo (hasta ahora la lista incluye China, Brasil, EE. UU. (varios estados), Suecia, Reino Unido y Países Bajos). ), según sus nombres. Las filas completas de la tabla para estos procesos toman la forma ? root <my server's ip>-<some other ip>. Ejecutar nethogs como root no cambia esto. Al usar netstat para intentar calcular el PID de estos resultados, se dice que el PID/Comando es igual a -. Una búsqueda frenética en Google, después de pensar que mi servidor había sido pirateado, me dio la idea de que estos son módulos del kernel que usan la red de manera muy similar a como lo hace NFS. Al buscar en lsmod, veo una gran cantidad de nombres que suenan legítimos y que no reconozco, por lo que no es útil. Aun así, un módulo malicioso podría llamarse a sí mismo de otra manera. Como tal, me gustaría preguntar cómo puedo vincular estas conexiones a módulos específicos del kernel y luego investigar más para descubrir qué está pasando.

Gracias

Respuesta1

El servidor NFS en el kernel no subvierte los informes de red de esta manera, ni los módulos suelen exhibir el tipo de relación con las redes o los informes de las mismas que usted describe. Es posible que esté describiendo que no puede ver los detalles del proceso de comandos privilegiados o seguros, y esto sería el resultado de no ejecutar su investigación como usuario raíz o similar.

Los guiones en su PID o en los campos de comando significan que, si bien hay datos para ver allí, usted no está al tanto de ellos. Vuelva a ejecutar sus comandos de investigación como root y debería ver esos guiones reemplazados con datos utilizables.

En cuanto a determinar si este tipo de tráfico es indeseable, saber qué se supone que debe hacer el servidor en primer lugar sería útil para eliminar las pistas falsas.

información relacionada