Windows Server 2011 - система открытия зловещих TCP-соединений

Там, где я работаю, у нас есть Windows Server 2011 Small Business Edition, и недавно наше программное обеспечение Symantec начало сообщать о "заблокированных попытках вторжения" с порта 80. Наши маршрутизаторы не перенаправляют порт на порт 80 сервера, поэтому я предположил, что вторжение должно быть исходящее соединение с самого сервера.

Поэтому я проанализировал нагрузку на сеть с помощью Systernals TCPView и обнаружил довольно много установленных и закрытых подключений к случайным интернет-доменам, обрабатываемых Системой. Никто не использует сервер для работы в Интернете, и все рабочие станции используют маршрутизаторы непосредственно в качестве шлюзов.

Это часть журнала TCPView. Отредактированный "локальный адрес" - это, конечно же, имя нашего сервера.

System  4   TCP *********** http    60.191.0.244    64319   ESTABLISHED                                     
System  4   TCP *********** http    101.200.47.16   8459    CLOSE_WAIT                                      
System  4   TCP *********** http    191-19-83-33.user.vivozap.com.br    42496   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  43486   CLOSE_WAIT                                      
System  4   TCP *********** http    150.242.255.174 44416   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  47442   CLOSE_WAIT                                      
System  4   TCP *********** http    177.87.41-231.arrobasat.net.br  48123   CLOSE_WAIT                                      
System  4   TCP *********** http    dsl-189-230-200-191-dyn.prod-infinitum.com.mx   51664   ESTABLISHED                                     
System  4   TCP *********** http    185.216.140.17  52176   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  53965   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  56133   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  58255   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  62631   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  15485   CLOSE_WAIT                                      
System  4   TCP *********** http    103.96.51.168   31089   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  4480    CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  8981    CLOSE_WAIT                                      
System  4   TCP *********** http    101.200.47.16   16375   CLOSE_WAIT                                      
System  4   TCP *********** http    198.24.113.181.static.anycast.cnt-grms.ec   34732   CLOSE_WAIT                                      
System  4   TCP *********** http    ec2-54-162-123-74.compute-1.amazonaws.com   45372   CLOSE_WAIT                                      
System  4   TCP *********** http    190.52.66.66    53300   CLOSE_WAIT                                      
System  4   TCP *********** http    110.77.205.250  59765   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  64701   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  4480    CLOSE_WAIT                                      
System  4   TCP *********** http    101.200.47.16   8459    CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  8981    CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  4480    CLOSE_WAIT                                      
System  4   TCP *********** http    103.96.51.168   31089   CLOSE_WAIT                                      
System  4   TCP *********** http    187-56-64-26.dsl.telesp.net.br  35086   CLOSE_WAIT                                      
System  4   TCP *********** http    ec2-54-162-123-74.compute-1.amazonaws.com   45372   CLOSE_WAIT                                      
System  4   TCP *********** http    190.52.66.66    53300   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  8981    CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  15485   CLOSE_WAIT                                      
System  4   TCP *********** http    103.96.51.168   31089   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  49546   CLOSE_WAIT                                      
System  4   TCP *********** http    190.52.66.66    53300   CLOSE_WAIT                                      
System  4   TCP *********** http    190.52.66.66    53300   CLOSE_WAIT                                      
System  4   TCP *********** http    164.115.41.175  49546   CLOSE_WAIT                                      
System  4   TCP *********** http    dsl-189-230-200-191-dyn.prod-infinitum.com.mx   51664   ESTABLISHED

Я случайно выбрал некоторые из этих адресов и, например, 60.191.0.244 был зарегистрирован в отеле в Китае.

Это так плохо, как кажется? Как я могу собрать больше информации?

Большое спасибо.

1 ответ

Как отметил @joeqwerty, это были входящие соединения. В нашем роутере был сломан порт. Был отмечен как "Отключен", но, видимо, форвард был полностью работоспособен.

Другие вопросы по тегам