我正在运行 Server 2012 R2。
当我查看资源监视器中的“网络”选项卡时,我看到奇怪的网络地址持续几秒钟然后消失。
该服务器用作数据库服务器,只能从澳大利亚地址连接。我可以看到许多来自 .ru、.tr、.fr 等的地址。
所有这些连接均由 PID 4(系统映像)使用。
我已经使用 Malwarebytes 进行了扫描,没有发现任何问题。
- 有没有办法查看哪个系统进程正在使用这些连接?
- 这是一种蠕虫吗?如果是,我该如何找到它?
我已附加我所看到的地址类型的图像。
答案1
我无法回答你的问题 1。至于你的问题 2,它可能不是你服务器上的蠕虫如果所有连接都是传入的。
然而
不应允许互联网上的随机人员打开任何类型的连接到您的数据库服务器。您的防火墙应允许传入访问
管理连接的端口,如果有的话,希望由静态源 IP 地址识别
您所提供的服务的端口,希望它不是直接的数据库,而是某些 Web 界面,例如 Apache 或 IIS,可能在不同的机器上运行。
这意味着您不需要怀疑这些地址连接到什么,因为只有两种可能性。
另一种可能性是这些连接是向外的。如果是这样,最好的情况是它们是您的服务器为识别传入连接而进行的 DNS 查找(这可以解释为什么系统映像会使用这些连接)。当然,最坏的情况是“您的服务器完全被入侵,您的数据已被导出给其他人,您将无法访问它,或者它会以您不喜欢的方式被修改,并且您的服务器被用于非法目的,这将导致警察来访”——希望情况并非如此!检查您是否拥有最新的备份总是好的。
如果在将传入连接限制为专门授权的连接后仍然看到这些连接,那么您应该使用数据包嗅探器转储网络数据包以查看这些数据包是什么,如果这不能回答您的问题,那么至少您将有更多的数据来解决您的下一个问题。
这可能不是您想要的答案,但由于两天内没有其他人接受您的建议,因此我只能尽我所能为您提供帮助。
TL;DR:您需要一个防火墙。
答案2
1 – 是的,有:https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview
2 – 没有更多细节就无法说。
有很多蠕虫、扫描器、搜索引擎、白痴程序和其他互联网连接启动机制。没有办法通过如此少的信息来了解。
答案3
这是了解有关这些连接的更多信息的另一种方法。获取进程探索器从 Microsoft Sysinternals,然后以管理员身份运行它,转到系统进程,打开其属性,转到 TCP/IP 选项卡,您可以在那里查看这些连接以及它们正在使用的端口和协议。
希望这可以帮助。
答案4
该服务器用作数据库服务器,只能从澳大利亚地址连接。我可以看到许多来自 .ru、.tr、.fr 等的地址。
这并不奇怪。任何可从一般互联网访问的服务器都处于持续的攻击之中。如果服务不是“互联网强化的”,则需要保护网络访问。
基本保护措施是基于地理位置的 IP 地址筛选。当然,更好的方法包括明确将所需客户端/ISP 列入白名单以及 SSL 加密。对于全球漫游用户,应考虑使用 VPN。