有人从我的电脑上传东西

我的互联网体验非常慢。在vnstat我看到了

   rx:        4 kbit/s     3 p/s          tx:    94.74 Mbit/s 14072 p/s^C


 eth4  /  traffic statistics

                           rx         |       tx
--------------------------------------+------------------
  bytes                    11.85 MiB  |       30.30 GiB
--------------------------------------+------------------
          max            6.86 Mbit/s  |    94.93 Mbit/s
      average           28.18 kbit/s  |    73.80 Mbit/s
          min               0 kbit/s  |        0 kbit/s
--------------------------------------+------------------
  packets                      17127  |        37761168
--------------------------------------+------------------
          max                584 p/s  |       14108 p/s
      average                  4 p/s  |       10964 p/s
          min                  0 p/s  |           0 p/s
--------------------------------------+------------------
  time                 57.40 minutes

我看到使用nethogs，

  PID USER     PROGRAM                                                                                                                                                         DEV        SENT      RECEIVED       
2546  root     su                                                                                                                                                              eth4       0.013       0.072 KB/sec
?     root     192.168.7.100:58888-43.250.83.106:61878                                                                                                                                    0.021       0.025 KB/sec
?     root     192.168.7.100:58888-70.24.39.90:65025                                                                                                                                      0.021       0.025 KB/sec
?     root     192.168.7.100:44145-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:52239-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:15834-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:29433-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:49576-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:36540-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32289-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:25437-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:10155-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32125-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:59269-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:57686-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:2747-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:59482-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:58985-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:56246-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:4345-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:10665-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:40676-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:35600-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:12241-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:43541-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:19124-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:1676-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:37809-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:7017-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:14998-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:64834-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:31544-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:17969-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:57675-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:32002-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:1233-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:64445-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:51733-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:38604-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:63299-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:96-115.28.112.60:7575                                                                                                                                        0.168       0.000 KB/sec
?     root     192.168.7.100:28078-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:40611-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:4304-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:43318-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec
?     root     192.168.7.100:8573-115.28.112.60:7575                                                                                                                                      0.168       0.000 KB/sec
?     root     192.168.7.100:51347-115.28.112.60:7575                                                                                                                                     0.168       0.000 KB/sec

似乎有人运行了一个torrent应用程序并从我的电脑上传了所有内容。不过不确定。

我怎么知道这个令人讨厌的东西是什么过程？我需要停止并防止它在将来发生。

我被典当了吗？

更新

我已经通过我的路由器防火墙关闭了除sshd（22）之外的所有端口。现在我没有看到这个过程。但是现在nethogs显示出这种奇怪的输出。

  PID USER     PROGRAMDEV        SENT      RECEIVED       
?     root     unknown TCP      0.000       0.000 KB/sec

— Shiplu Mokaddim
source

nethogs应该显示程序名称。但无论如何，做什么 netstat -natup 显示。

— Firelord

netstat没有显示任何pid！

— Shiplu Mokaddim

我提到的命令。我仔细检查了一下。它确实显示了它。

— Firelord

@Firelord没有ip的条目 115.28.112.60 在输出中 netstat -natup

— Shiplu Mokaddim

我不确定nethogs究竟是如何工作的，但这个问号是不是意味着它是一个“过去”的联系？如果该过程不再存在，则nethogs将显示一个问号。缺乏 115.28.112.60 在 netstat -natup 似乎表明了这一点。你现在还有奇怪的联系吗？也许张贴了 netstat -natup -result或/甚至是 ps aux 看看是否有一个奇怪的进程在运行，你无法识别。

— Rik

这似乎可能属于信息安全，但这是一个开始看到“你怎么知道”，如果你是pwnd。

一些观察：

43.250.83.106在孟加拉国（附近）
70.24.39.90在北美（加拿大）
115.28.112.60是AsiaPacific（中国），没有入境交通
低端口号（低于操作系统的临时限制）具有特权，通常不需要出站。
尽管portscan可以解释最后一组（单一来源：IP），但没有证据表明它是入站会话，而RST（响应扫描）无论如何都是大约50个字节（不是172）。

要确定是否可能C2（在前两个地址）后面是快速序列的端口打开出站（每个发送大约172个字节，没有明显响应关闭），您必须重新连接系统并开始捕获数据包。不要那样做。

如果你要保持/不备份等：

查看外部防火墙日志，或捕获系统外部的数据包，以查看它是否仍在尝试联系。它也可能是将数据包发送到您的网络。这可能像DNS或ICMP出站一样简单，以避免泄露C2。
在主机本身，你可以尝试几件事：
- 首先考虑您的工具被覆盖或挂钩。为此您可以尝试获得的静态链接二进制文件/ 使自己（并使用只读媒体）或使用 busybox的
- “netstat -p”通常仅适用于提升的权限（您在调查时肯定已经提升，因此这不会带来额外的风险）。
- “lsof -i4”将显示进程+ IPv4连接（IPv6的-i6）。
- 取消隐藏比较/ proc与'ps'，尝试系统调用，执行pid bruteforcing，反向线程搜索，它还可以显示netstat不可见的端口。
- ss -ap（进程+套接字）
- rkhunter，chkrootkit（rootkit checkers）
- 检查在奇怪的地方运行的任何东西（如tmp文件夹）
- 检查驻留脚本（perl，python等）

其他工具：

lsmod应该显示内核模块
auditd（如果由您的发行版添加）应该使您能够监视奇怪的系统调用和失败。
tcpdump（捕获网络流量）
检查每个用户的历史文件（include / root和/ home / *），例如.bash_history，.lesshst，.mysql_history等。
检查/ proc / filesystems以及您未安装的任何ck *文件系统。用户空间（FUSE）中的文件系统可能隐藏了临时区域。

预防复发是一个与发生的事情有关的大而复杂的答案。防火墙（iptables），IDS / IPS（snort），禁用不必要的服务，审核wget / curl /脚本语言访问，审核丢弃在奇怪地方（主文件夹，临时文件夹），文件完整性监控等的可执行文件是一个良好的开端。 SELinux（AppArmor在其他系统上类似）往往需要做很多工作，但它也很有用。

— ǝɲǝɲbρɯͽ
source