Там, где я работаю, у нас есть версия Windows Server 2011 Small Business, и недавно наше программное обеспечение Symantec начало сообщать о «заблокированных попытках вторжения» с порта 80. Наши маршрутизаторы не пересылают порт на порт 80 сервера, поэтому я предположил, что вторжение должно быть исходящее соединение с самого сервера.
Итак, я проанализировал сетевую нагрузку с помощью Systernals TCPView и обнаружил довольно много установленных и закрытых подключений к случайным интернет-доменам, обрабатываемых System. Никто не использует сервер для работы в Интернете, и все рабочие станции используют маршрутизаторы непосредственно в качестве шлюзов.
Это часть журнала TCPView. Отредактированный «локальный адрес» - это, конечно, имя нашего сервера.
System 4 TCP *********** http 60.191.0.244 64319 ESTABLISHED
System 4 TCP *********** http 101.200.47.16 8459 CLOSE_WAIT
System 4 TCP *********** http 191-19-83-33.user.vivozap.com.br 42496 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 43486 CLOSE_WAIT
System 4 TCP *********** http 150.242.255.174 44416 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 47442 CLOSE_WAIT
System 4 TCP *********** http 177.87.41-231.arrobasat.net.br 48123 CLOSE_WAIT
System 4 TCP *********** http dsl-189-230-200-191-dyn.prod-infinitum.com.mx 51664 ESTABLISHED
System 4 TCP *********** http 185.216.140.17 52176 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 53965 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 56133 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 58255 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 62631 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 15485 CLOSE_WAIT
System 4 TCP *********** http 103.96.51.168 31089 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 4480 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 8981 CLOSE_WAIT
System 4 TCP *********** http 101.200.47.16 16375 CLOSE_WAIT
System 4 TCP *********** http 198.24.113.181.static.anycast.cnt-grms.ec 34732 CLOSE_WAIT
System 4 TCP *********** http ec2-54-162-123-74.compute-1.amazonaws.com 45372 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 110.77.205.250 59765 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 64701 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 4480 CLOSE_WAIT
System 4 TCP *********** http 101.200.47.16 8459 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 8981 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 4480 CLOSE_WAIT
System 4 TCP *********** http 103.96.51.168 31089 CLOSE_WAIT
System 4 TCP *********** http 187-56-64-26.dsl.telesp.net.br 35086 CLOSE_WAIT
System 4 TCP *********** http ec2-54-162-123-74.compute-1.amazonaws.com 45372 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 8981 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 15485 CLOSE_WAIT
System 4 TCP *********** http 103.96.51.168 31089 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 49546 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 190.52.66.66 53300 CLOSE_WAIT
System 4 TCP *********** http 164.115.41.175 49546 CLOSE_WAIT
System 4 TCP *********** http dsl-189-230-200-191-dyn.prod-infinitum.com.mx 51664 ESTABLISHED
Я случайно узнал некоторые из этих адресов. Например, 60.191.0.244 зарегистрирован в отеле в Китае.
Это так плохо, как кажется? Как я могу получить дополнительную информацию?
Большое спасибо.
Как отметил @joeqwerty, это были входящие соединения. В нашем роутере был сломан порт вперед. Был отмечен как "инвалид", но, судя по всему, форвард был полностью исправен.