可能重复:
我如何处理受损的服务器?
我注意到我的Windows Web服务器2008 R2 x64服务器上的一些不寻常的networking行为,当我在资源监视器上调查时,我发现这是与相关和未知的IP连接到“svchost.exe(termsvcs)”与一个PID 3148.我的连接到服务也显示为一个单独的事例。
正在向这个IP发送15-30kB / sec的平均值,并且似乎每隔几秒就会突发一次。 我跟随PID到TermService – 远程桌面服务。 我重新启动了服务,未知的IP似乎断开连接,并连接了一个新的IP。
在任务pipe理器的用户选项卡上,只有一个用户(我)已连接。
我应该担心吗? 谢谢 :)
这是一个只有几天没有安装太多的系统:
完整的Windows更新
代理Ransack(由mythicsoftsearch工具)
TortoiseSVN的
的VisualSVN
用Winrar
MSSQL
我猜RDP对你的服务器是开放的(因为它可能是你唯一可以进入的方式),而且你正在被扫描到你的IP的机器人攻击。
你说的没有其他用户比你自己login..唯一有意义的是,有机器人试图用已知的用户名(pipe理员,鲍勃,简,约翰等蛮力的方式..)和随机密码。 检查安全事件日志,你应该看到大量的拒绝login。
解决这个问题唯一的方法是在服务器上build立一个防火墙,不允许来自世界上的任何客户端的RDP。 build立一个IP地址列表或至lessIP范围,你知道你将使用当您连接到服务器来pipe理它。
确保你没有使用一个简单的/知名的用户名。 这对于本地“pipe理员”帐户尤其重要。 禁用它,永远不要使用它。