And*_*ndy 2 remote-desktop remote-desktop-services
可能的重复:
如何处理受感染的服务器?
我注意到我的 Windows Web Server 2008 R2 x64 服务器上出现了一些不寻常的网络行为,当我在 Resource Monitor 上进行调查时,我注意到这与使用 PID 3148 连接到“svchost.exe (termsvcs)”的未知 IP 有关。我的连接到服务也显示为一个单独的实例。
平均 15-30 kB/sec 被发送到这个 IP,它似乎每隔几秒钟就会爆发一次。我按照 PID 到 TermService - 远程桌面服务。我重新启动了服务,未知 IP 似乎断开连接,很快连接了一个新 IP。
在任务管理器的用户选项卡上,只连接了一个用户(我)。
我应该担心吗?谢谢 :)
这是一个只有几天大的系统,上面没有安装太多:
完整的 Windows 更新
特工 Ransack(mythicsoft 的搜索工具)
乌龟SVN
视觉SVN
压缩包
MSSQL
我猜测 RDP 对你的服务器是开放的(因为它可能是你进入的唯一途径),并且你正在被扫描到你的 IP 的机器人攻击。
你是说除了你自己登录的用户之外没有其他用户......唯一有意义的是有机器人试图用已知的用户名(管理员、鲍勃、简、约翰等)强行进入..) 和随机密码。检查安全事件日志,您应该会看到大量被拒绝的登录。
阻止这种情况的唯一明智方法是在服务器上设置防火墙,不允许来自世界上任何客户端的 RDP。建立一个 IP 地址列表或至少是您知道在连接到服务器以管理它时将使用的 IP 范围。
确保您没有使用简单/众所周知的用户名。这对于本地“管理员”帐户尤其重要。禁用它,永远不要使用它。