В настоящее время я арендую выделенный сервер у OVH, и я смотрел на nethogs, чтобы узнать, сколько пропускной способности использует конкретный процесс. Однако в итоге я обнаружил там множество процессов, которые я не авторизовал, которые взаимодействуют с IP-адресами по всему миру (пока в список входят Китай, Бразилия, США (несколько штатов), Швеция, Великобритания и Нидерланды. ), исходя из их имен. Полные строки в таблице для этих процессов имеют вид ? root <my server's ip>-<some other ip>
. Запуск nethogs с правами root не меняет этого. Используя netstat, чтобы попытаться выяснить PID этих результатов, в нем говорится, что PID / Command равен -
. Некоторые безумные поиски в Google после того, как я подумал, что мой сервер взломан, натолкнули меня на мысль, что это модули ядра, использующие сеть почти так же, как NFS. Заглянув в lsmod, я вижу большое количество незнакомых мне имен, звучащих нормально, так что это бесполезно. Даже в этом случае модуль-мошенник мог называть себя как-то еще. Поэтому я хотел бы спросить, как я могу связать эти соединения с конкретными модулями ядра, а затем провести дальнейшее исследование, чтобы выяснить, что происходит.
Спасибо
Сервер NFS в ядре не нарушает сетевые отчеты, как это, и модули обычно не демонстрируют тот вид отношений с сетью или отчетами, которые вы описываете. Возможно, вы описываете, что не можете видеть детали процесса привилегированных или защищенных команд, и это может быть результатом того, что вы не проводите расследование как пользователь root или аналогичный.
Штрихи в полях PID или команд означают, что, хотя там есть данные, которые можно увидеть, вы не знакомы с ними. Повторно запустите свои исследовательские команды от имени пользователя root, и вы увидите, что эти дефисы заменены полезными данными.
Что касается определения нежелательности такого трафика, знание того, что сервер должен делать в первую очередь, может помочь устранить отвлекающие факторы.