ОПЕРАЦИОННЫЕ СИСТЕМЫ: Windows Server 2003 Инструмент мониторинга: CurrPorts
При мониторинге трафика на сервере для трафика, идущего через порт 80, пример результатов:
01.05.2014 14:36:23 Добавлен cscript.exe TCP server-IP: 51560 207.34.231.48:80 01.05.2014 14:36:23 Добавлен cscript.exe TCP server-IP: 51574
Кажется, что трафик инициируется cscript.exe и идет на 207.34.231.48:80.
Я воспользовался советом здесь, чтобы проверить, какие скрипты запускаются cscript.exe в то время: http://blogs.msdn.com/b/gstemp/archive/2004/02/13/72505.aspx
Однако все результаты, которые я получаю, являются стандартными сценариями SCOM, например: "C: \ Windows \ system32 \ cscript.exe" / nologo "D: \ Program Files \ System Center Operations Manager 2007 \ Health Service State \ Monitoring Host Temporary Files 38 \ file.vbs "
Я посмотрел в скрипт и не получил никаких подсказок, что вызывает исходящий трафик на 207.34.231.48:80.
Может ли кто-нибудь порекомендовать какие-либо шаги, которые я могу предпринять, чтобы определить, что заставляет сервер отправлять трафик на этот IP-адрес?