我已经iftop在 Fedora 17 机器上安装了版本 1.0 并运行了它。当计算机在启动后完全空闲且没有运行任何程序时,我收到很多奇怪的行。我担心我的 Linux 机器上有恶意软件,正在与僵尸网络母舰联系。
我可以采取什么步骤来找出导致 iftop 中每秒显示这些奇怪的行的原因以及确定它们是由什么引起的?
出现的奇怪行来自巴西 (.br)、印度 (.in)、南非 (.za) 和其他国家。我想知道这里发生了什么,我可以采取哪些措施来缓解我的担忧。
答案1
如果iftop报告与其他国家/地区的连接,则意味着您的计算机上正在运行一个程序,该程序正在启动这些连接,或者另一台计算机上的程序正在向您启动这些连接。问题是找到哪个程序正在启动这些连接。
找出导致这些连接的原因的步骤:
查找您不知道或忘记的在后台为您启动连接的程序。在另一个终端窗口中运行该命令,并截取其中前 100 个进程的屏幕截图。花点时间了解每个进程是什么以及每个进程负责什么。停止列表中您知道的top所有进程。top
如果您有后台任务,如守护进程、数据库、torrent 程序、即时通讯程序、后台任务、脚本等,请将它们全部停止。如果您希望计算机不执行任何操作,那么您可以识别有问题的程序,或者有问题的程序是否隐藏。
一旦我停止了 Linux 机器上所有非操作系统进程的程序,它们就iftop都安静下来了。然后我就能够使用排除法来找到启动所有连接的程序。
如果iftop仍然报告裸操作系统上的连接,那么可能有一个隐藏的程序正在启动它们,或者是负责的内部或外部网络上的程序。
您可以创建您的操作系统的启动盘并加载一个新的操作系统,然后iftop在其上运行,以确定是您的盒子启动连接,还是您的计算机从内部网络或外部网络中的另一个节点接收连接。
对我来说,这是一个令人震惊的事件,是我很久以前在后台运行的一个程序。我有点希望我找到了一个僵尸网络的触角。