Windows Server 2011 - 系统打开不祥的 TCP 连接

Windows Server 2011 - 系统打开不祥的 TCP 连接

我工作的地方有 Windows Server 2011 Small Business 版本,最近我们的 Symantec 软件开始报告来自端口 80 的“阻止入侵尝试”。我们的路由器没有将任何端口转发到服务器的 80 端口,所以我想象入侵一定是来自服务器本身的传出连接。

因此,我使用 Systernals TCPView 分析了网络负载,发现系统处理了相当多的与随机互联网域的建立和关闭连接。没有人使用服务器浏览互联网,所有工作站都直接使用路由器作为网关。

这是 TCPView 日志的一部分。删除的“本地地址”当然是我们的服务器名称。

System  4   TCP *********** http    60.191.0.244    64319   ESTABLISHED                                     
System  4   TCP *********** http    101.200.47.16   8459    CLOSE_WAIT                                      
System  4   TCP *********** http    191-19-83-33.user.vivozap.com.br    42496   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  43486   CLOSE_WAIT                                      
System  4   TCP *********** http    150.242.255.174 44416   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  47442   CLOSE_WAIT                                      
System  4   TCP *********** http    177.87.41-231.arrobasat.net.br  48123   CLOSE_WAIT                                      
System  4   TCP *********** http    dsl-189-230-200-191-dyn.prod-infinitum.com.mx   51664   ESTABLISHED                                     
System  4   TCP *********** http    185.216.140.17  52176   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  53965   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  56133   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  58255   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  62631   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  15485   CLOSE_WAIT                                      
System  4   TCP *********** http    103.96.51.168   31089   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  4480    CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  8981    CLOSE_WAIT                                      
System  4   TCP *********** http    101.200.47.16   16375   CLOSE_WAIT                                      
System  4   TCP *********** http    198.24.113.181.static.anycast.cnt-grms.ec   34732   CLOSE_WAIT                                      
System  4   TCP *********** http    ec2-54-162-123-74.compute-1.amazonaws.com   45372   CLOSE_WAIT                                      
System  4   TCP *********** http    190.52.66.66    53300   CLOSE_WAIT                                      
System  4   TCP *********** http    110.77.205.250  59765   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  64701   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  4480    CLOSE_WAIT                                      
System  4   TCP *********** http    101.200.47.16   8459    CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  8981    CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  4480    CLOSE_WAIT                                      
System  4   TCP *********** http    103.96.51.168   31089   CLOSE_WAIT                                      
System  4   TCP *********** http    187-56-64-26.dsl.telesp.net.br  35086   CLOSE_WAIT                                      
System  4   TCP *********** http    ec2-54-162-123-74.compute-1.amazonaws.com   45372   CLOSE_WAIT                                      
System  4   TCP *********** http    190.52.66.66    53300   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  8981    CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  15485   CLOSE_WAIT                                      
System  4   TCP *********** http    103.96.51.168   31089   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  49546   CLOSE_WAIT                                      
System  4   TCP *********** http    190.52.66.66    53300   CLOSE_WAIT                                      
System  4   TCP *********** http    190.52.66.66    53300   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  49546   CLOSE_WAIT                                      
System  4   TCP *********** http    dsl-189-230-200-191-dyn.prod-infinitum.com.mx   51664   ESTABLISHED

我随机对其中一些地址进行了 whois 查询,例如 60.191.0.244 注册于中国一家酒店。

这真的像看上去那么糟糕吗?我该如何收集更多信息?

多谢。

答案1

正如 @joeqwerty 指出的那样,这些是入站连接。我们的路由器中有一个端口转发已损坏。被列为“已禁用”,但显然转发完全可以运行。

相关内容