Nslookup по первому адресу показывает, что это система в Китае:
$ nslookup 61.134.84.44 8.8.8.8
Server: 8.8.8.8
Address: 8.8.8.8#53
Non-authoritative answer:
44.84.134.61.in-addr.arpa name = 44.61.134.84.net.ts.gs.dynamic.163data.com.cn.
Authoritative answers can be found from:
$
"Cn" в конце полного доменного имени (FQDN) - это код страны для Китая. А Азиатско-Тихоокеанский сетевой информационный центр (APNIC), региональный Интернет-реестр (RIR) для Азии, показывает, что IP-адрес 61.134.84.44 находится в диапазоне адресов, назначенном «Интернет-клубу Tsqc» в Китае.
Nslookup на другом адресе 184.105.247.226 показывает полное доменное имя, связанное с этим адресом, - scan-13h.shadowserver.org . Shadowserver Foundation - это «группа добровольцев-профессионалов в области интернет-безопасности, которая собирает, отслеживает и сообщает о вредоносных программах, ботнет-активности и компьютерном мошенничестве. Он направлен на повышение безопасности Интернета за счет повышения осведомленности о наличии скомпрометированных серверов, злоумышленниках и распространении вредоносных программ ». На домашней странице организации говорится:
Основанный в 2004 году, The Shadowserver Foundation собирает информацию на темной стороне Интернета. Мы состоим из добровольных специалистов по безопасности со всего мира. Наша миссия - понять и помочь положить конец киберпреступности с высокими ставками в век информации.
Относительно того, почему вы могли видеть передачу по сети между вашей системой и системой ShadowServer, см. Страницу организации Open Portmapper Scanning Project .
Другой IP-адрес в Китае мог быть попыткой этой системы подключиться к вашей системе. Internet Storm Center, являющийся программой Технологического института SANS, который отслеживает уровень вредоносной активности в Интернете, сообщает о недавней активности сканирования по адресу 61.134.84.44.
Если вы подключены к Интернету, вам следует ожидать частых попыток систем во всем мире подключиться к вашей системе, поскольку в мире есть люди, сканирующие Интернет на наличие уязвимостей, которые они могут использовать; попытка подключения не обязательно означает, что ваша система уязвима, только то, что кто-то проверяет ваш IP-адрес на наличие уязвимостей.
Вы можете использовать tcpdump или Wireshark для захвата и анализа потоков данных, чтобы получить лучшее представление о том, что происходит, т.е. кто-то просто сканирует вашу систему в поисках уязвимостей или кто-то скомпрометировал вашу систему. Обучение эффективному использованию этих инструментов может занять значительное время, если вы не знакомы с сетевыми протоколами Интернета, но они неоценимы в устранении неполадок в сети и анализе сетевого трафика.
Обновить:
Вывод, который вы опубликовали в NetHogs, показал только сетевые порты для других систем, то есть 24630 для системы в Китае и 37393 для системы Shadowserver, но не соответствующие порты в вашей системе, но если вы хотите знать, какой процесс прослушивает на конкретном порту вашей системы вы можете использовать команду lsof . Например, если вы хотите узнать, какой процесс прослушивает стандартный порт HTTP, известный как порт 80, вы можете выполнить команду lsof -i TCP:80 (TCP - это протокол для HTTP, в то время как некоторые другие сетевые протоколы используют UDP) или, альтернативно, вы можете использовать команду netstat netstat -nlp | grep :80 Выполните команды из учетной записи root, т. Е. Либо войдите в систему как root и введите команду, либо поставьте sudo перед командой, в зависимости от используемого дистрибутива Linux. Обратитесь к разделу Поиск PID процесса с использованием определенного порта? на дочернем сайте Unix & Linux к этому сайту для других методов и примеров вывода.
