Подозрительное сканирование портов spoolsv.exe на Windows server 2003 с ролью сервера печати
Сегодня на одном из серверов заметил, что в средстве просмотра событий / безопасности много "Failure audit" сообщения вроде этого:
Сообщение повторяется каждую секунду, а номер порта увеличивается на единицу из диапазона портов 1025 к 5000 а потом снова. На мой взгляд, такое «сканирование портов» выглядит довольно подозрительно!
Я пробовал запустить TCPView, чтобы узнать больше, но он показывает только процесс, его идентификатор и порт. Это сделано специально для того, чтобы spoolsv.exe так поступали? Или это какая-то вредоносная программа? Кто-нибудь видел это раньше?
На сервере установлены роли файлового сервера и сервера печати.
Итак, после того, как были определены мониторы печати по умолчанию и не по умолчанию, мы фактически сделали резервную копию всех из них, а затем удалили ВСЕ нестандартные мониторы печати с последующими Диспетчер очереди печати перезапуск службы. После этого в программе просмотра событий больше не было событий, и пока мы не получали никаких жалоб от конечных пользователей.
Вот список мониторов печати по умолчанию:
- BJ Language Monitor
- Местный порт
- Монитор языка PJL
- Стандартный порт TCP / IP
- USB-монитор