On Mon, Nov 26, 2018 at 01:39:26AM -0600, D. H. wrote: > # netstat -anlp | grep 59282 > udp 0 0 0.0.0.0:59282 0.0.0.0:* - > > т.е. PID/Program name "-" > > Собственно два вопроса: > 1) Как бы вычислить процесс?
Для начала применить альтернативы netstat'у, например, ss и lsof. > 2) А как оно вообще так получается? Потому что подобных процессов > обнаружилось несколько: Скорее всего троян подменил системные бинари (в т.ч. netstat) на свои, ломаные. Но поломать структуры ядра довольно сложно, а заменить все бинари в системе невозможно, поэтому применение альтернативных утилит скорее всего поможет. В крайнем случае можно содержимое /proc/net/tcp (который читает netstat) прочесть разобрать самостоятельно. :) А вообще нужно искать проверялку на руткиты (check root kit) и проверять ею систему. Затем, скорее всего, придётся переставить систему с нуля и закрыть все критичные порты пакетным фильтром. -- Eugene Berdnikov
