현재 OVH에서 전용 서버를 임대하고 있으며, 특정 프로세스가 얼마나 많은 연결 용량을 사용하고 있는지 nethogs를 살펴보고 있었습니다. 그러나 결국 전 세계의 IP와 통신하는 승인하지 않은 수많은 프로세스를 발견했습니다(지금까지 목록에는 중국, 브라질, 미국(여러 주), 스웨덴, 영국 및 네덜란드가 포함됨). ), 이름을 기준으로 합니다. 이러한 프로세스에 대한 테이블의 전체 행은 형식을 취합니다 ? root <my server's ip>-<some other ip>. nethogs를 루트로 실행해도 이 내용은 변경되지 않습니다. netstat를 사용하여 이러한 결과의 PID를 알아내려고 하면 PID/명령이 -. 내 서버가 해킹당했다고 생각한 후 광적인 인터넷 검색을 통해 이것이 NFS와 거의 동일한 방식으로 네트워크를 사용하는 커널 모듈이라는 아이디어를 얻었습니다. lsmod를 살펴보면 내가 인식하지 못하는 합법적인 이름이 많이 있으므로 유용하지 않습니다. 그럼에도 불구하고 악성 모듈은 자신을 다른 이름으로 부를 수 있습니다. 따라서 이러한 연결을 특정 커널 모듈에 어떻게 연결할 수 있는지 묻고, 무슨 일이 일어나고 있는지 파악하기 위해 추가 조사를 수행하고 싶습니다.
감사합니다
답변1
커널 내 NFS 서버는 이와 같은 네트워크 보고를 파괴하지 않으며 모듈은 일반적으로 설명하는 네트워킹 또는 보고와의 관계를 나타내지 않습니다. 권한 있는 명령이나 보안 명령의 프로세스 세부 정보를 볼 수 없다고 설명할 수 있으며 이는 루트 사용자 또는 이와 유사한 권한으로 조사를 실행하지 않은 결과일 수 있습니다.
PID 또는 명령 필드의 대시는 거기에 표시되는 데이터가 있지만 해당 데이터에 접근할 수 없음을 의미합니다. 조사 명령을 루트로 다시 실행하면 해당 대시가 사용 가능한 데이터로 대체된 것을 볼 수 있습니다.
이러한 종류의 트래픽이 바람직하지 않은지 판단하는 한, 서버가 처음에 무엇을 해야 하는지 아는 것은 위험을 제거하는 데 도움이 될 것입니다.