Я боюсь, что я нахожусь под захватом ботнета Linux.

sudo netstat -antpv со всеми закрытыми браузерами, кроме других результатов, возвращает это:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.0.100:48090     216.58.197.67:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:49130     216.58.197.68:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:47830     74.125.200.190:443      TIME_WAIT   -               
tcp        0      0 192.168.0.100:33494     216.58.197.81:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:42121     216.58.220.42:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:33497     216.58.197.81:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:40590     198.41.215.68:443       TIME_WAIT   -               

Эти IP-адреса постоянно меняются. Эти адреса принадлежат

http://104.244.43.39.ipaddress.com (твиттер)

http://54.192.159.56.ipaddress.com (облачный фронт / амазонка

http://216.58.197.67.ipaddress.com (Google) (То же самое для остальных ips в этой серии)

http://74.125.200.190.ipaddress.com (Google)

http://198.41.215.68.ipaddress.com (cloudflare)

Итак, вот мои вопросы:

1) Я правильно читаю? Предполагая, что так-

2) Как определить процессы, которые делают это

3) Как мне защитить себя. Есть ли хорошие антивирусные решения Linux?

4) Что происходит? Я могу понять спам в твиттере, но как насчет Google? Они нажимают на ссылки Google для SEO?

5) Как мне избавиться от них быстро?

1 ответ1

3

1) Я правильно читаю?

Все соединения, которые вы нам показываете, уже закрыты.

Если вы использовали веб-браузер (и посетили веб-страницу со значком твиттера), то это выглядит вполне нормально.

Это не значит, что вы не могли быть заражены каким-либо образом, но TIME_WAIT - это состояние, когда у нас когда-то была ссылка, но она уже закрыта и находится в процессе очистки.

Закрытие TCP-соединения выглядит так (упрощенно):

Time_wait_closing_diagram

2) Как определить процессы, которые делают это

На данный момент эти процессы уже прошли. Попробуйте выполнить мониторинг, чтобы найти тот, который УСТАНОВЛЕН, а затем попытайтесь выяснить, какое приложение использует это соединение. У меня сложилось впечатление, что это будет ваш браузер.

3) Как мне защитить себя. Есть ли хорошие антивирусные решения Linux?

Стандартные решения: не запускать с правами root. При щелчке по элементам руководствуйтесь здравым смыслом, обновляйте ОС и приложения

Что происходит? Я могу понять спам в твиттере, но как насчет Google? Они нажимают на ссылки Google для SEO?

В Windows я заметил то же самое, когда Firefox добавлял предложения в мои поиски. Много активных ссылок на Google. Не только веб-страница. И если я захожу на веб-страницу со ссылкой на Facebook или Twitter, который также может открыть подключение к их сайту. (Даже если он невиновен, если он только загружает логотип Twitter с сайта твиттеров).

Что касается облачных вычислений: это сеть доставки контента (CND). Почти все может вызвать их, в том числе Google и Twitter.

5) Как мне избавиться от них быстро?

Перезагружать.

Войдите (не графически) и проверьте, нет ли соединений.
Затем запустите графическое окружение (и, возможно, автозапуск приложений). Проверьте еще раз. Запустите ваши любимые программы, один за другим. Проверяйте снова после каждого ...

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .