服务器上存在可疑连接

服务器上存在可疑连接

操作系统:Windows 服务器 2003监控工具:当前端口

当监控服务器上通过端口 80 传出的流量时,结果示例如下:

2014 年 5 月 1 日下午 2:36:23 添加了 cscript.exe TCP服务器IP:51560 207.34.231.48:80 5/1/2014 2:36:23 PM 添加了 cscript.exe TCP服务器IP:51574

看起来该流量是由 cscript.exe 发起的,并且目的地是 207.34.231.48:80。

我使用此处的建议来检查当时 cscript.exe 运行了哪些脚本:http://blogs.msdn.com/b/gstemp/archive/2004/02/13/72505.aspx

但是我得到的所有结果都是标准 SCOM 脚本,例如:“C:\Windows\system32\cscript.exe”/nologo“D:\Program Files\System Center Operations Manager 2007\Health Service State\Monitoring Host Temporary Files 38\file.vbs”

我查看了脚本,但根本没有找到导致传出流量到 207.34.231.48:80 的原因。

有人能推荐我采取什么步骤来确定是什么原因导致服务器向该 IP 发送流量吗?

相关内容