NetHogs 在 Ubuntu 16.04 上显示从 root 到随机端口的可疑（传出）流量

在 Ubuntu 16.04（网络）服务器上使用 NetHogs，即在未安装任何消费者应用程序或网络浏览器的机器上，除了预期的流量（HTTP 和 SSH）

 PID USER     PROGRAM                                           DEV        SENT      RECEIVED       
5266 www-data /usr/sbin/apache2                                 eth0      15.142       2.924 KB/sec
4698 <ME>     sshd: <ME>@pts/0                                  eth0       0.899       0.071 KB/sec

我还看到不少可疑的连接，如下所示：

 PID USER     PROGRAM                                           DEV        SENT      RECEIVED       
   ? root     <SERVER_IP_V4>:515-122.228.XXX.XXX:43652                     0.000       0.000 KB/sec
   ? root     <SERVER_IP_V4>:4946-92.118.XXX.XXX:44243                     0.000       0.000 KB/sec
   ? root     <SERVER_IP_V4>:1703-94.177.XXX.XXX:51820                     0.000       0.000 KB/sec
   ? root     <SERVER_IP_V4>:1433-123.207.XXX.XXX:45628                    0.000       0.000 KB/sec
   ? root     <SERVER_IP_V4>:34568-223.71.XXX.XXX:40922                    0.000       0.011 KB/sec
   ? root     <SERVER_IP_V4>:9444-51.91.XXX.XXX:46170                      0.000       0.000 KB/sec
   ? root     unknown TCP                                                  0.000       0.000 KB/sec

所以它们没有关联的进程 ID[1]，都是由 运行的root，似乎是从随机端口到其他随机端口的传出连接（即没有传出的 HTTP 请求[2] [3])、没有关联设备，且流量很少或没有[4]。

按照，目的地地址的地理位置似乎是中国、俄罗斯联邦和塞舌尔等whois。

根据 ，我的防火墙规则ufw status verbose实际上应该阻止除 SSH 和 HTTP(S) 之外的任何传入流量。因此，这些传出连接一定是由主机上运行的恶意程序引起的，对吗？

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     LIMIT IN    Anywhere                  
80/tcp                     ALLOW IN    Anywhere                  
443/tcp                    ALLOW IN    Anywhere                  

这确实是可疑的，甚至是恶意流量的证据吗，或者这些是一些误报（由于某种原因我可能没有看到）？

或者每对中的两个 IP 地址的顺序无关紧要[5] [6]，因此这些实际上可能是传入连接？如果是这样，如果已将 UFW 配置为阻止此类连接，怎么会发生这种情况，这些连接之一怎么能传输数据呢？