我工作的地方有 Windows Server 2011 Small Business 版本,最近我们的 Symantec 软件开始报告来自端口 80 的“阻止入侵尝试”。我们的路由器没有将任何端口转发到服务器的 80 端口,所以我想象入侵一定是来自服务器本身的传出连接。
因此,我使用 Systernals TCPView 分析了网络负载,发现系统处理了相当多的与随机互联网域的建立和关闭连接。没有人使用服务器浏览互联网,所有工作站都直接使用路由器作为网关。
这是 TCPView 日志的一部分。删除的“本地地址”当然是我们的服务器名称。
System 4 TCP *********** http 60.191.0.244 64319 ESTABLISHED
System 4 TCP *********** http 101.200.47.16 8459 CLOSE_WAIT
System 4 TCP *********** http 191-19-83-33.user.vivozap.com.br 42496 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 43486 CLOSE_WAIT
System 4 TCP *********** http 150.242.255.174 44416 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 47442 CLOSE_WAIT
System 4 TCP *********** http 177.87.41-231.arrobasat.net.br 48123 CLOSE_WAIT
System 4 TCP *********** http dsl-189-230-200-191-dyn.prod-infinitum.com.mx 51664 ESTABLISHED
System 4 TCP *********** http 185.216.140.17 52176 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 53965 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 56133 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 58255 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 62631 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 15485 CLOSE_WAIT
System 4 TCP *********** http 103.96.51.168 31089 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 4480 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 8981 CLOSE_WAIT
System 4 TCP *********** http 101.200.47.16 16375 CLOSE_WAIT
System 4 TCP *********** http 198.24.113.181.static.anycast.cnt-grms.ec 34732 CLOSE_WAIT
System 4 TCP *********** http ec2-54-162-123-74.compute-1.amazonaws.com 45372 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 110.77.205.250 59765 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 64701 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 4480 CLOSE_WAIT
System 4 TCP *********** http 101.200.47.16 8459 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 8981 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 4480 CLOSE_WAIT
System 4 TCP *********** http 103.96.51.168 31089 CLOSE_WAIT
System 4 TCP *********** http 187-56-64-26.dsl.telesp.net.br 35086 CLOSE_WAIT
System 4 TCP *********** http ec2-54-162-123-74.compute-1.amazonaws.com 45372 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 8981 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 15485 CLOSE_WAIT
System 4 TCP *********** http 103.96.51.168 31089 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 49546 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 49546 CLOSE_WAIT
System 4 TCP *********** http dsl-189-230-200-191-dyn.prod-infinitum.com.mx 51664 ESTABLISHED
我随机对其中一些地址进行了 whois 查询,例如 60.191.0.244 注册于中国一家酒店。
这真的像看上去那么糟糕吗?我该如何收集更多信息?
多谢。
答案1
正如 @joeqwerty 指出的那样,这些是入站连接。我们的路由器中有一个端口转发已损坏。被列为“已禁用”,但显然转发完全可以运行。