Подозрительное сканирование портов для spoolsv.exe на Windows Server 2003 с ролью сервера печати

Question

Подозрительное сканирование портов для spoolsv.exe на Windows Server 2003 с ролью сервера печати

Сегодня заметил на одном из серверов, что Просмотр событий / Безопасность имеет много "Failure audit" такие сообщения:

введите описание здесь

Сообщение повторяется каждую секунду, и номер порта увеличивается на единицу, диапазон портов составляет от 1025 до 5000, а затем снова и снова. Для меня такое "сканирование портов" выглядит довольно подозрительно!

Я попытался запустить TCPView, чтобы узнать больше деталей, но он показывает только процесс, его ID и порт. Это спроектировано для spoolsv.exe, чтобы действовать так? Или это какая-то вредоносная программа? Кто-нибудь видел это раньше?

Роли файлового сервера и сервера печати установлены на сервере.

введите описание здесь

1

windows-server-2003 windows-event-log printing malware port-scanning

Источник

Volodymyr M. 18 мар '13 в 14:27

1 ответ

Решение

Другие вопросы по тегам windows-server-2003 windows-event-log printing malware port-scanning

Volodymyr M. 20 мар '13 в 13:17 2013-03-20 13:17 · Accepted Answer · 2013-03-20 13:17

Итак, после определения мониторов печати по умолчанию и не по умолчанию мы фактически создали резервные копии всех их, а затем удалили ВСЕ нестандартные мониторы печати с последующим перезапуском службы диспетчера очереди печати. После этого больше не было событий в средстве просмотра событий, и пока мы не получили никаких жалоб от конечных пользователей.

Вот список мониторов печати по умолчанию:

BJ Language Monitor
Локальный порт
PJL Language Monitor
Стандартный порт TCP/IP
USB-монитор