我运行了几个IIS Web服务器,一个在win server 2008 R2上,另一个在2003上。完全打补丁和最新的AV。 在没有NAT连接的情况下运行8个WAN IP
2003年的机器似乎突然间使用了很多带宽(ITRO每天1-2GB)的UPSTREAM。 这是愚蠢的,因为它只是举办3个非常低的带宽网站(比如说每天最多100页的请求)
看资源监视器,我看到什么似乎是一个几乎不变的连接到一个未知的IP地址(外部),所以我把它阻止在Windows防火墙。 2个小时后,我看到另一个不相关的IP绘制了很多带宽…(甚至不相似)
我怎样才能确切地找出哪个进程“喂”这个连接? 它提到了一个通用的svchost,运行了大约6个进程(尽pipe不是IIS),但是,就我所能缩小它而言。
编辑 – Aditional:我刚刚重新启动服务器,现在注意CPU和networking使用中的锯齿模式,对应于Winlogon和csrss ….
首先, netstat -ano将显示您的计算机正在连接的端口/ IP地址,以及正在进行的进程的进程ID(PID),例如:
TCP 10.16.69.103:49316 192.0.2.18:443 ESTABLISHED 6396 TCP 10.16.69.103:49318 192.0.2.18:443 ESTABLISHED 6396 TCP 10.16.69.103:49363 192.0.2.18:443 ESTABLISHED 6396 TCP 10.16.69.103:49398 192.0.2.18:443 ESTABLISHED 6396 TCP 10.16.69.103:49402 192.0.2.18:443 ESTABLISHED 6396 最后一列是PID(6396)。
你可以运行tasklist / svc来找出哪个服务正在被哪个进程运行,例如:
svchost.exe 828 Dhcp, Dnscache svchost.exe 864 Alerter, LmHosts, W32Time svchost.exe 880 AeLookupSvc, AudioSrv, BITS, Browser, CryptSvc, dmserver, EventSystem, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, ShellHWDetection, TrkWks, winmgmt, wuauserv, WZCSVC OUTLOOK.EXE 6396 N/A
所以,在这里我们可以看到打开192.0.2.18连接的进程是OUTLOOK.EXE 。
如果它是一个svchost.exe进程,它正在运行的服务将出现在PID旁边。 例如,我们可以看到,使用PID 828的svchost正在运行DHCP客户端(dhcp)和DNS客户端(Dnscache)服务。
如果您的svchost.exe进程没有运行服务,并且没有作为系统帐户(例如NetworkService或LocalService)运行,则很可能是恶意软件。 使用Process Explorer来确定该文件在磁盘上的位置。
如果有问题的svchost实例正在运行多个服务,并且需要找出导致问题的哪个服务,则可以将这些服务分离出来,以便使用它们各自的svchost进程。 因此,如果有问题的svchost进程运行的是Dhcp和Dnscache ,则可以运行sc config dhcp type = own和sc config dnscache type = own ,然后重新引导并查看哪个引起了stream量。
在这里,我只使用Dhcp和Dnscache作为示例。
如果出现问题的svchost实例正在大量移动,则可能需要检查AppInit_DLLSregistry项 ,以防止恶意DLL以这种方式加载进程。