如何根据发现的网络链接追踪是那个进程创建的呢？

知道端口的话，lsof -i:22 能看到 pid。

端口你可以用 netstat 或者 iftop 都看的出来的。

如何查看 Linux 系统的带宽流量
* 按网卡查看流量：ifstat、dstat -nf 或 sar -n DEV 1 2

按进程查看流量：nethogs
*
按连接查看流量：iptraf、iftop 或 tcptrack
*
查看流量最大的进程：sysdig -c topprocs_net
*
查看流量最大的端口：sysdig -c topports_server
*
查看连接最多的服务器端口：sysdig -c fdbytes_by fd.sport

ss -anp

@matrix67 它不是一直在联网 而是断断续续的隔一段时间联一下 不好找啊

@AmrtaShiva 几种思路
1. 一直抓包，看异常的端口号
2. 查是否有守护进程，没有的话查 cron job 之类的。

这个本质上就跟查后门一样的啊。

还有一种方法， 用 perf-tools，execsnoop opensnoop 之类的查查，查 syslog，装一个 auditd 查查。

ftrace 加个 kprobe 一直抓着就行了