Как я могу определить, какой модуль ядра отвечает за конкретное соединение, отображаемое в NetHogs?
В настоящее время я арендую выделенный сервер у OVH, и я смотрел на nethogs, чтобы узнать, сколько пропускной способности соединения использует конкретный процесс. Однако в итоге я обнаружил там множество процессов, которые я не авторизовал, которые взаимодействуют с IP-адресами по всему миру (пока в список входят Китай, Бразилия, США (несколько штатов), Швеция, Великобритания и Нидерланды. ), исходя из их имен. Полные строки в таблице для этих процессов имеют вид ? корень < IP моего сервера> - <другой IP> . Запуск nethogs от имени root не меняет этого. Используя netstat, чтобы попытаться выяснить PID этих результатов, в нем говорится, что PID / Command равен - . Некоторые безумные поиски в Google после того, как я подумал, что мой сервер взломан, натолкнули меня на мысль, что это модули ядра, использующие сеть почти так же, как это делает NFS. Заглянув в lsmod, я вижу большое количество незнакомых мне имен, звучащих нормально, так что это бесполезно. Даже в этом случае модуль-мошенник мог называть себя как-то еще. Поэтому я хотел бы спросить, как я могу связать эти соединения с конкретными модулями ядра, а затем провести дальнейшее исследование, чтобы выяснить, что происходит.
Спасибо
Сервер NFS в ядре не подрывает сетевые отчеты подобным образом, и при этом модули обычно не демонстрируют тот вид отношений с сетью или отчетами, который вы описываете. Возможно, вы описываете, что не можете видеть детали процесса привилегированных или защищенных команд, и это может быть результатом того, что вы не проводите расследование в качестве пользователя root или аналогичного.
Штрихи в полях PID или команд означают, что пока есть это данные, которые можно увидеть там, вы не знакомы с ними. Повторно запустите свои исследовательские команды от имени пользователя root, и вы увидите, что эти дефисы заменены пригодными для использования данными.
Что касается определения нежелательности такого трафика, было бы полезно знать, что сервер должен делать в первую очередь. в устранении отвлекающих факторов.