Возможный дубликат:
Как мне поступить с взломанным сервером?
Я заметил необычное сетевое поведение на своем сервере Windows web server 2008 R2 x64, когда я исследовал Resource Monitor, я заметил, что это было связано с неизвестным IP-адресом, который был подключен к svchost.exe (termsvcs) с PID 3148. Мое соединение к сервису тоже показывался отдельным экземпляром.
На этот IP-адрес отправлялось в среднем 15–30 КБ / сек, и, похоже, каждые несколько секунд он был послан. Я следил за PID до TermService - Remote Desktop Services. Я перезапустил службу, и неизвестный IP-адрес, казалось, отключился и вскоре подключился новый.
На вкладке пользователей Диспетчера задач подключен только один пользователь (я).
Я должен быть обеспокоен? Спасибо :)
Это система, которой всего несколько дней, и на ней совсем не установлено:
Полные обновления Windows
Агент Рэнсак (поисковая программа от компании Mificsoft)
TortoiseSVN
VisualSVN
Winrar
MSSQL
Я предполагаю, что RDP открыт для всего мира для вашего сервера (поскольку это, вероятно, единственный способ попасть внутрь), и что вы подвергаетесь атаке со стороны ботов, которые просканировали свой путь к вашему IP.
Вы говорите, что нет других пользователей, кроме вас, вошедшего в систему ... единственное, что имеет смысл, это то, что есть боты, пытающиеся подобрать себе путь с известными именами пользователей (администратор, Боб, Джейн, Джон и т. Д. ..) и случайные пароли. Проверьте журнал событий безопасности, и вы должны увидеть поток запрещенных входов в систему.
Единственный разумный способ остановить это - установить на сервере брандмауэр, который не разрешает RDP от любого клиента в мире. Составьте список IP-адресов или хотя бы диапазонов IP-адресов, которые, как вы знаете, вы будете использовать при подключении к серверу для управления им.
Убедитесь, что вы не используете простое / известное имя пользователя. Это особенно важно для локальной учетной записи «Администратор». Отключите его и никогда не используйте.