Я запускаю несколько веб-серверов IIS, один на win server 2008 R2, другой на 2003. Оба полностью исправлены и обновлены, с AV. Работа без NAT с 8 IP-адресами WAN
Машина 2003 года, кажется, внезапно использует БОЛЬШУЮ полосу пропускания (ITRO 1-2 ГБ в день) UPSTREAM. что глупо, поскольку на нем размещается всего 3 сайта с ОЧЕНЬ низкой пропускной способностью (скажем, 100 запросов страниц в день, максимум)
Посмотрев в монитор ресурсов, я увидел почти постоянное соединение с неизвестным IP-адресом (внешним), поэтому я заблокировал его в брандмауэре Windows. 2 часа спустя я вижу другой, не связанный IP-адрес, требующий большой пропускной способности ... (даже отдаленно не похожий)
Как я могу точно отследить, какой процесс «питает» это соединение? он относился к общему svchost, запускающему около 6 процессов (хотя и не IIS), но это насколько я могу сузить.
Отредактировано - Дополнительно: я только что перезапустил сервер и теперь заметил пилообразный узор в использовании ЦП и сети, соответствующий Winlogon и csrss ....
Прежде всего, netstat -ano покажет вам, к каким портам / IP-адресам подключается ваш компьютер, вместе с идентификатором процесса (PID) процесса, который это делает, например:
TCP 10.16.69.103:49316 192.0.2.18:443 ESTABLISHED 6396
TCP 10.16.69.103:49318 192.0.2.18:443 ESTABLISHED 6396
TCP 10.16.69.103:49363 192.0.2.18:443 ESTABLISHED 6396
TCP 10.16.69.103:49398 192.0.2.18:443 ESTABLISHED 6396
TCP 10.16.69.103:49402 192.0.2.18:443 ESTABLISHED 6396
Последний столбец - это PID (6396).
Вы можете запустить список задач / svc чтобы узнать, какие сервисы запускаются каким процессом, например:
svchost.exe 828 Dhcp, Dnscache
svchost.exe 864 Alerter, LmHosts, W32Time
svchost.exe 880 AeLookupSvc, AudioSrv, BITS, Browser,
CryptSvc, dmserver, EventSystem, helpsvc,
lanmanserver, lanmanworkstation, Netman,
Nla, RasMan, Schedule, seclogon, SENS,
ShellHWDetection, TrkWks, winmgmt,
wuauserv, WZCSVC
OUTLOOK.EXE 6396 N/A
Итак, здесь мы видим, что процесс, открывающий соединения с 192.0.2.18, является OUTLOOK.EXE.
Если бы это был svchost.exe процесса, службы, которые он запускает, будут отображаться рядом с PID. Например, мы видим, что svchost с PID 828 запускает службы DHCP-клиента (dhcp) и DNS-клиента (Dnscache).
Если ваш процесс svchost.exe не запускает службу и не работает как системная учетная запись (например, NetworkService или LocalService), скорее всего, это вредоносная программа. Использовать Обозреватель процессов чтобы определить, где находится этот файл на диске.
Если проблемный экземпляр svchost запускает несколько служб, и вам нужно определить, какая из них вызывает проблему, вы можете отделить услуги использовать свой собственный индивидуальный процесс svchost. Итак, если ваш проблемный процесс svchost был запущен Dhcp и Dnscacheты бы побежал sc config dhcp type = собственный и sc config dnscache type = own, а затем перезагрузитесь и посмотрите, какой из них был причиной трафика.
Здесь я просто использую Dhcp и Dnscache в качестве примеров.
Если экземпляр svchost, из-за которого возникает проблема, часто перемещается, вы можете проверить Раздел реестра AppInit_DLLS, на случай, если таким образом процесс загружает вредоносную DLL.