КБ отдел решил забрать у меня машину, потому что «с неё осуществляется нападие на их ЦОД». В подтверждение они продемонстрировали запросы по адресам

https://fx8.io
https://www.cobaltstrike.com
https://mirrors.aliyun.com

которые едут с моего компьютера в час ночи, по локальному времени. Последний оказался gentoo-репозиторием по умолчанию в системе, но это ладно. Сменил его на яндекс.

В системе установлено 3.5 пакета (иксы, дрова, пайчарм, фаерфокс), все из генту-репозитория.

Единственная моя догадка, что это может быть – firefox или pycharm плагины, которые встали в систему при синхронизации с аккаунтами. Из наиболее подозрительных: addblock, youtube enhancer, ghostery(?), IdeaVimExtension

Впорос следующий – как найти процесс, пуляющий такие интересные запросы?

Я пока придумал только netstat -ptuc >> /var/log/network_activity

Но что делать дальше я пока не придумал.