Atualmente alugo um servidor dedicado da OVH e estava pesquisando no nethogs para ver quanta capacidade de conexão um processo específico estava usando. Acabei, no entanto, encontrando lá uma série de processos que não autorizei e que estão se comunicando com IPs de todo o mundo (até agora a lista inclui China, Brasil, EUA (vários estados), Suécia, Reino Unido e Holanda ), com base em seus nomes. As linhas completas da tabela para esses processos assumem a forma ? root <my server's ip>-<some other ip>. Executar nethogs como root não muda isso. Usar o netstat para tentar descobrir o PID desses resultados diz que o PID/Comando é igual a -. Algumas pesquisas frenéticas no Google, depois de pensar que meu servidor havia sido hackeado, me deram a ideia de que esses são módulos do kernel que usam a rede da mesma maneira que o NFS. Olhando no lsmod, vejo um grande número de nomes que parecem legítimos que não reconheço, então isso não é útil. Mesmo assim, um módulo não autorizado poderia chamar a si mesmo de outra coisa. Como tal, gostaria de perguntar como posso vincular essas conexões a módulos específicos do kernel e, em seguida, fazer mais pesquisas para descobrir o que está acontecendo.
Obrigado
Responder1
O servidor NFS no kernel não subverte relatórios de rede como este, nem os módulos normalmente exibem o tipo de relacionamento com a rede ou relatórios que você descreve. Você pode estar descrevendo a impossibilidade de ver detalhes do processo de comandos privilegiados ou seguros, e isso seria o resultado de não executar sua investigação como usuário root ou similar.
Os traços em seu PID ou campos de comando significam que, embora haja dados para serem vistos lá, você não tem acesso a eles. Execute novamente seus comandos investigativos como root e você verá esses traços substituídos por dados utilizáveis.
No que diz respeito a determinar se esse tipo de tráfego é indesejável, saber o que o servidor deveria estar fazendo seria útil para eliminar pistas falsas.