我目前从 OVH 租用了一台专用服务器,并且我查看了 nethogs 以查看特定进程使用了多少连接容量。但是,我最终发现那里有大量我未授权的进程,这些进程根据其名称与世界各地的 IP 进行通信(到目前为止,该列表包括中国、巴西、美国(多个州)、瑞典、英国和荷兰)。这些进程的表中的完整行采用以下形式? root <my server's ip>-<some other ip>。以 root 身份运行 nethogs 不会改变这一点。使用 netstat 尝试找出这些进程的 PID,结果显示 PID/命令等于-。在认为我的服务器已被黑客入侵后,我疯狂地谷歌搜索,发现这些是内核模块,它们使用网络的方式与 NFS 非常相似。查看 lsmod,我看到大量我不认识的听起来合法的名称,因此这没有用。即便如此,恶意模块也可以将自己称为其他名称。因此,我想问一下如何将这些连接与特定的内核模块联系起来,然后做进一步的研究来弄清楚发生了什么。
谢谢
答案1
内核 NFS 服务器不会破坏这样的网络报告,模块通常也不会表现出您描述的那种与网络或报告的关系。您可能描述了无法查看特权或安全命令的进程详细信息,这可能是由于您没有以 root 用户或类似用户身份运行调查的结果。
PID 或命令字段中的破折号表示虽然那里有数据可供查看,但您无法查看。以 root 身份重新运行调查命令,您应该会看到这些破折号被可用数据替换。
至于确定这种流量是否不受欢迎,首先了解服务器应该做什么将有助于消除干扰因素。