Постоянное использование сети неизвестным процессом

Question

Анnslookupпо первому адресу видно, что это система в Китае:

$ nslookup 61.134.84.44 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
44.84.134.61.in-addr.arpa       name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.

Authoritative answers can be found from:

$

«cn» в концеполное доменное имя (FQDN)этокод страны для Китая. ИАзиатско-Тихоокеанский сетевой информационный центр (APNIC),региональный интернет-регистратор (RIR)для Азии показывает IP-адрес61.134.84.44находится в диапазоне адресов, назначенных «Интернет-клубу Tsqc» в Китае.

Nslookup по другому адресу, 184.105.247.226, показывает, что полное доменное имя, связанное с этим адресом, равно scan-13h.shadowserver.org.Фонд Shadowserver— это «добровольная группа профессиональных работников по безопасности в Интернете, которая собирает, отслеживает и сообщает о вредоносных программах, активности ботнетов и компьютерном мошенничестве. Ее цель — повысить безопасность Интернета путем повышения осведомленности о наличии скомпрометированных серверов, злоумышленниках и распространении вредоносного ПО».домашняя страницадля организации заявляет:

Основанный в 2004 году, фонд Shadowserver собирает разведданные о темной стороне интернета. Мы состоим из добровольцев-профессионалов по безопасности со всего мира. Наша миссия — понять и помочь остановить киберпреступность с высокими ставками в информационную эпоху.

О том, почему вы могли видеть сетевые передачи между вашей системой и системой ShadowServer, читайте в документации организации.Открытый проект сканирования Portmapperстраница.

Другой IP-адрес в Китае мог быть попыткой этой системы подключиться к вашей системе.Центр интернет-шторма, которая является программойИнститут технологий SANSкоторый отслеживает уровень вредоносной активности в Интернете, сообщаетнедавняя активность сканирования с адреса 61.134.84.44.

Если вы подключены к Интернету, вам следует ожидать частых попыток систем по всему миру подключиться к вашей системе, поскольку по всему миру есть люди, сканирующие Интернет на предмет уязвимостей систем, которыми они могут воспользоваться; попытка подключения не обязательно означает, что ваша система уязвима, а лишь то, что кто-то проверяет ваш IP-адрес на наличие уязвимостей.

Вы могли бы использоватьtcpdumpилиWiresharkдля захвата и анализа потоков данных, чтобы получить лучшее представление о том, что происходит, то есть, кто-то просто сканирует вашу систему в поисках уязвимостей или кто-то скомпрометировал вашу систему. Обучение эффективному использованию этих инструментов может занять довольно много времени, если вы не знакомы сИнтернет-сетевые протоколы, но они бесценны при устранении неполадок в сети и анализе сетевого трафика.

Обновлять:

Вывод, который вы опубликовали,NetHogsпоказали толькосетевые портыдля других систем, т. е. 24630для системы в Китае и 37393для системы Shadowserver, но не для соответствующих портов в вашей системе, но если вы хотите узнать, какой процесс прослушивает определенный порт в вашей системе, вы можете использоватьlsofкоманда. Например, если вы хотите узнать, какой процесс прослушивает стандартный порт HTTP, которыйизвестный порт80, вы можете дать команду lsof -i TCP:80(ТКПэто протокол для HTTP, в то время как некоторые другие сетевые протоколы используютУДП) или, в качестве альтернативы, вы можете использоватьнетстатcommand netstat -nlp | grep :80. Выполняйте команды из учетной записи root, т. е. либо войдите в систему как root и выполните команду, либо поставьте sudoперед командой в зависимости от используемого вами дистрибутива Linux. См.Как узнать PID процесса, использующего определенный порт?наЮникс и Линукссайт-партнер этого сайта для других методов и примеров вывода.

Answer 1

Анnslookupпо первому адресу видно, что это система в Китае:

$ nslookup 61.134.84.44 8.8.8.8
Server:         8.8.8.8
Address:        8.8.8.8#53

Non-authoritative answer:
44.84.134.61.in-addr.arpa       name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.

Authoritative answers can be found from:

$

«cn» в концеполное доменное имя (FQDN)этокод страны для Китая. ИАзиатско-Тихоокеанский сетевой информационный центр (APNIC),региональный интернет-регистратор (RIR)для Азии показывает IP-адрес61.134.84.44находится в диапазоне адресов, назначенных «Интернет-клубу Tsqc» в Китае.

Nslookup по другому адресу, 184.105.247.226, показывает, что полное доменное имя, связанное с этим адресом, равно scan-13h.shadowserver.org.Фонд Shadowserver— это «добровольная группа профессиональных работников по безопасности в Интернете, которая собирает, отслеживает и сообщает о вредоносных программах, активности ботнетов и компьютерном мошенничестве. Ее цель — повысить безопасность Интернета путем повышения осведомленности о наличии скомпрометированных серверов, злоумышленниках и распространении вредоносного ПО».домашняя страницадля организации заявляет:

Основанный в 2004 году, фонд Shadowserver собирает разведданные о темной стороне интернета. Мы состоим из добровольцев-профессионалов по безопасности со всего мира. Наша миссия — понять и помочь остановить киберпреступность с высокими ставками в информационную эпоху.

О том, почему вы могли видеть сетевые передачи между вашей системой и системой ShadowServer, читайте в документации организации.Открытый проект сканирования Portmapperстраница.

Другой IP-адрес в Китае мог быть попыткой этой системы подключиться к вашей системе.Центр интернет-шторма, которая является программойИнститут технологий SANSкоторый отслеживает уровень вредоносной активности в Интернете, сообщаетнедавняя активность сканирования с адреса 61.134.84.44.

Если вы подключены к Интернету, вам следует ожидать частых попыток систем по всему миру подключиться к вашей системе, поскольку по всему миру есть люди, сканирующие Интернет на предмет уязвимостей систем, которыми они могут воспользоваться; попытка подключения не обязательно означает, что ваша система уязвима, а лишь то, что кто-то проверяет ваш IP-адрес на наличие уязвимостей.

Вы могли бы использоватьtcpdumpилиWiresharkдля захвата и анализа потоков данных, чтобы получить лучшее представление о том, что происходит, то есть, кто-то просто сканирует вашу систему в поисках уязвимостей или кто-то скомпрометировал вашу систему. Обучение эффективному использованию этих инструментов может занять довольно много времени, если вы не знакомы сИнтернет-сетевые протоколы, но они бесценны при устранении неполадок в сети и анализе сетевого трафика.

Обновлять:

Вывод, который вы опубликовали,NetHogsпоказали толькосетевые портыдля других систем, т. е. 24630для системы в Китае и 37393для системы Shadowserver, но не для соответствующих портов в вашей системе, но если вы хотите узнать, какой процесс прослушивает определенный порт в вашей системе, вы можете использоватьlsofкоманда. Например, если вы хотите узнать, какой процесс прослушивает стандартный порт HTTP, которыйизвестный порт80, вы можете дать команду lsof -i TCP:80(ТКПэто протокол для HTTP, в то время как некоторые другие сетевые протоколы используютУДП) или, в качестве альтернативы, вы можете использоватьнетстатcommand netstat -nlp | grep :80. Выполняйте команды из учетной записи root, т. е. либо войдите в систему как root и выполните команду, либо поставьте sudoперед командой в зависимости от используемого вами дистрибутива Linux. См.Как узнать PID процесса, использующего определенный порт?наЮникс и Линукссайт-партнер этого сайта для других методов и примеров вывода.

Постоянное использование сети неизвестным процессом

решение1

Связанный контент