Я боюсь, что я нахожусь под захватом ботнета Linux.

sudo netstat -antpv со всеми закрытыми браузерами, кроме других результатов, возвращает это:

Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.0.100:48090     216.58.197.67:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:49130     216.58.197.68:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:47830     74.125.200.190:443      TIME_WAIT   -               
tcp        0      0 192.168.0.100:33494     216.58.197.81:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:42121     216.58.220.42:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:33497     216.58.197.81:443       TIME_WAIT   -               
tcp        0      0 192.168.0.100:40590     198.41.215.68:443       TIME_WAIT   -

Эти IP-адреса постоянно меняются. Эти адреса принадлежат

http://104.244.43.39.ipaddress.com (твиттер)

http://54.192.159.56.ipaddress.com (облачный фронт / амазонка

http://216.58.197.67.ipaddress.com (Google) (То же самое для остальных ips в этой серии)

http://74.125.200.190.ipaddress.com (Google)

http://198.41.215.68.ipaddress.com (cloudflare)

Итак, вот мои вопросы:

1) Я правильно читаю? Предполагая, что так-

2) Как определить процессы, которые делают это

3) Как мне защитить себя. Есть ли хорошие антивирусные решения Linux?

4) Что происходит? Я могу понять спам в твиттере, но как насчет Google? Они нажимают на ссылки Google для SEO?

5) Как мне избавиться от них быстро?

|источник

1 ответ1

3

1) Я правильно читаю?

Все соединения, которые вы нам показываете, уже закрыты.

Если вы использовали веб-браузер (и посетили веб-страницу со значком твиттера), то это выглядит вполне нормально.

Это не значит, что вы не могли быть заражены каким-либо образом, но TIME_WAIT - это состояние, когда у нас когда-то была ссылка, но она уже закрыта и находится в процессе очистки.

Закрытие TCP-соединения выглядит так (упрощенно):

Time_wait_closing_diagram

2) Как определить процессы, которые делают это

На данный момент эти процессы уже прошли. Попробуйте выполнить мониторинг, чтобы найти тот, который УСТАНОВЛЕН, а затем попытайтесь выяснить, какое приложение использует это соединение. У меня сложилось впечатление, что это будет ваш браузер.

3) Как мне защитить себя. Есть ли хорошие антивирусные решения Linux?

Стандартные решения: не запускать с правами root. При щелчке по элементам руководствуйтесь здравым смыслом, обновляйте ОС и приложения

Что происходит? Я могу понять спам в твиттере, но как насчет Google? Они нажимают на ссылки Google для SEO?

В Windows я заметил то же самое, когда Firefox добавлял предложения в мои поиски. Много активных ссылок на Google. Не только веб-страница. И если я захожу на веб-страницу со ссылкой на Facebook или Twitter, который также может открыть подключение к их сайту. (Даже если он невиновен, если он только загружает логотип Twitter с сайта твиттеров).

Что касается облачных вычислений: это сеть доставки контента (CND). Почти все может вызвать их, в том числе Google и Twitter.

5) Как мне избавиться от них быстро?

Перезагружать.

Войдите (не графически) и проверьте, нет ли соединений.
Затем запустите графическое окружение (и, возможно, автозапуск приложений). Проверьте еще раз. Запустите ваши любимые программы, один за другим. Проверяйте снова после каждого ...

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .