Windows Server 2011 - система открытия зловещих TCP-соединений
Там, где я работаю, у нас есть Windows Server 2011 Small Business Edition, и недавно наше программное обеспечение Symantec начало сообщать о "заблокированных попытках вторжения" с порта 80. Наши маршрутизаторы не перенаправляют порт на порт 80 сервера, поэтому я предположил, что вторжение должно быть исходящее соединение с самого сервера.
Поэтому я проанализировал нагрузку на сеть с помощью Systernals TCPView и обнаружил довольно много установленных и закрытых подключений к случайным интернет-доменам, обрабатываемых Системой. Никто не использует сервер для работы в Интернете, и все рабочие станции используют маршрутизаторы непосредственно в качестве шлюзов.
Это часть журнала TCPView. Отредактированный "локальный адрес" - это, конечно же, имя нашего сервера.
System 4 TCP *********** http 60.191.0.244 64319 ESTABLISHED
System 4 TCP *********** http 101.200.47.16 8459 CLOSE_WAIT
System 4 TCP *********** http 191-19-83-33.user.vivozap.com.br 42496 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 43486 CLOSE_WAIT
System 4 TCP *********** http 150.242.255.174 44416 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 47442 CLOSE_WAIT
System 4 TCP *********** http 177.87.41-231.arrobasat.net.br 48123 CLOSE_WAIT
System 4 TCP *********** http dsl-189-230-200-191-dyn.prod-infinitum.com.mx 51664 ESTABLISHED
System 4 TCP *********** http 185.216.140.17 52176 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 53965 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 56133 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 58255 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 62631 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 15485 CLOSE_WAIT
System 4 TCP *********** http 103.96.51.168 31089 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 4480 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 8981 CLOSE_WAIT
System 4 TCP *********** http 101.200.47.16 16375 CLOSE_WAIT
System 4 TCP *********** http 198.24.113.181.static.anycast.cnt-grms.ec 34732 CLOSE_WAIT
System 4 TCP *********** http ec2-54-162-123-74.compute-1.amazonaws.com 45372 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 110.77.205.250 59765 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 64701 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 4480 CLOSE_WAIT
System 4 TCP *********** http 101.200.47.16 8459 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 8981 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 4480 CLOSE_WAIT
System 4 TCP *********** http 103.96.51.168 31089 CLOSE_WAIT
System 4 TCP *********** http 187-56-64-26.dsl.telesp.net.br 35086 CLOSE_WAIT
System 4 TCP *********** http ec2-54-162-123-74.compute-1.amazonaws.com 45372 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 8981 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 15485 CLOSE_WAIT
System 4 TCP *********** http 103.96.51.168 31089 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 49546 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 49546 CLOSE_WAIT
System 4 TCP *********** http dsl-189-230-200-191-dyn.prod-infinitum.com.mx 51664 ESTABLISHED
Я случайно выбрал некоторые из этих адресов и, например, 60.191.0.244 был зарегистрирован в отеле в Китае.
Это так плохо, как кажется? Как я могу собрать больше информации?
Большое спасибо.
1 ответ
Как отметил @joeqwerty, это были входящие соединения. В нашем роутере был сломан порт. Был отмечен как "Отключен", но, видимо, форвард был полностью работоспособен.