Когда я запускаю netstat -a, появляется много соединений с иностранными хостами. Он подключен ко всей подсети, т.е. 123.123.123.x к порту 80. Как я могу увидеть, что на самом деле происходит? Мой сервер не выглядит взломанным. Он работает под управлением ArchLinux.
netstat имеет -p опция, которая показывает вам, какая программа устанавливает соединение
$ wget http://serverfault.com &
$ netstat -ap
...
Proto Recv-Q Send-Q Local Address Foreign Address State ID/Program
tcp 0 0 rgb.example.com:1034 stackoverflow.com:http ESTABLISHED 2578/wget
Затем вы можете использовать ps чтобы узнать, какой пользователь запускает этот процесс, что это за родительский процесс, и другую полезную информацию.
Вы могли бы использовать tcpdump dst net 123.123.123 чтобы увидеть, какие данные отправляются и принимаются.