我目前從 OVH 租用了一台專用伺服器,我正在查看 nethogs 以了解特定進程使用了多少連接容量。然而,我最終發現大量未經我授權的進程正在與世界各地的 IP 進行通信(到目前為止,該列表包括中國、巴西、美國(多個州)、瑞典、英國和荷蘭) ),根據他們的名字。表中這些進程的完整行採用以下形式? root <my server's ip>-<some other ip>。以 root 身分執行 nethogs 不會改變這一點。使用 netstat 嘗試找出這些結果的 PID,其中顯示 PID/命令等於-。在認為我的伺服器被駭客攻擊後,我瘋狂地谷歌搜索,讓我意識到這些是使用網路的核心模組,其方式與 NFS 非常相似。查看 lsmod,我看到大量我不認識的聽起來合法的名稱,因此這沒有用。即便如此,惡意模組也可以將自己稱為其他名稱。因此,我想問如何將這些連接綁定到特定的核心模組,然後進行進一步的研究以弄清楚發生了什麼。
謝謝
答案1
核心中的 NFS 伺服器不會像這樣破壞網路報告,模組通常也不會表現出您所描述的與網路或報告的關係。您可能會描述無法查看特權或安全命令的進程詳細信息,這可能是未以根用戶或類似用戶身份運行調查的結果。
PID 或命令欄位中的破折號意味著雖然可以看到其中的數據,但您並不了解這些數據。以 root 身分重新執行您的調查命令,您應該會看到那些破折號被替換為可用資料。
至於確定這種流量是否是不需要的,首先了解伺服器應該做什麼將有助於消除轉移注意力的情況。