我运行了 netstat 命令,得到了一个程序,其 PID/程序描述为 3061/host。协议是 udp。本地地址是 0.0.0.0:37089。外部地址是 0.0.0.0:*
在网上有没有什么地方可以获取 pid 信息?
您能提供一些有关使用 netstat 检测黑客攻击的信息吗?
编辑:我刚刚发现我与其他主机有随机连接,PID 包括 512、32404、32353、31509、31123。它持续的时间很短,但到目前为止从未表示连接状态已建立。
以下是一个例子:
udp 0 0 0.0.0.0:44848 0.0.0.0:* 20730/host
答案1
您可以使用wireshark来监控和分析网络流量。
您可能遇到了某种滥用。网上有几篇帖子提到 /usr/bin/hosts 被 php 滥用,例如:https://serverfault.com/questions/705217/usr-bin-host-executed-by-hacked-php-script,我碰到的几篇帖子都在谈论 wordpress 和已安装的一个易受攻击的插件。