可能重复:
我该如何处理受到感染的服务器?
我注意到我的 Windows Web Server 2008 R2 x64 服务器上存在一些不寻常的网络行为,当我在资源监视器上进行调查时,我注意到这与未知 IP 连接到 PID 为 3148 的“svchost.exe (termsvcs)”有关。我与该服务的连接也显示为一个单独的实例。
平均每秒有 15-30 kB 的数据发送到此 IP,并且似乎每隔几秒就会出现一次突发情况。我按照 PID 找到了 TermService - 远程桌面服务。我重新启动了服务,未知 IP 似乎断开了连接,而新的 IP 很快就连接上了。
在任务管理器的用户选项卡上,只有一个用户(我)连接。
我应该担心吗?谢谢 :)
该系统才刚刚推出几天,上面安装的东西还很少:
完整的 Windows 更新
Agent Ransack(由 mythicsoft 开发的搜索工具)
TortoiseSVN
可视化SVN
温拉
微软SQL
答案1
我猜测 RDP 对您的服务器是开放的(因为这可能是您进入的唯一方式),并且您正受到通过扫描到您的 IP 的机器人的攻击。
你说除了你自己之外没有其他用户登录。。。唯一合理的解释是,有机器人试图用已知用户名(管理员、Bob、Jane、John 等等)和随机密码强行登录。检查安全事件日志,你应该会看到大量被拒绝的登录。
阻止这种情况的唯一明智方法是在服务器上设置防火墙,不允许世界上任何客户端使用 RDP。建立一个 IP 地址列表,或者至少建立一个您知道在连接到服务器进行管理时将使用的 IP 地址范围列表。
确保您没有使用简单/众所周知的用户名。这对于本地“管理员”帐户尤其重要。禁用它并且永远不要使用它。