可能的重复:
如何处理受感染的服务器?
我注意到我的 Windows Web Server 2008 R2 x64 服务器上出现了一些不寻常的网络行为,当我在 Resource Monitor 上进行调查时,我注意到这与使用 PID 3148 连接到“svchost.exe (termsvcs)”的未知 IP 有关。我的连接到服务也显示为一个单独的实例。
平均 15-30 kB/sec 被发送到这个 IP,它似乎每隔几秒钟就会爆发一次。我按照 PID 到 TermService - 远程桌面服务。我重新启动了服务,未知 IP 似乎断开连接,很快连接了一个新 IP。
在任务管理器的用户选项卡上,只连接了一个用户(我)。
我应该担心吗?谢谢 :)
这是一个只有几天大的系统,上面没有安装太多:
完整的 Windows 更新
特工 Ransack(mythicsoft 的搜索工具)
乌龟SVN
视觉SVN
压缩包
MSSQL