Endereços de rede estranhos no Monitor de Recursos

1

Estou executando o Server 2012 R2.

Quando olho para a guia Rede no Monitor de Recursos, vejo endereços de rede estranhos que duram alguns segundos e depois desaparecem.

O servidor é usado como servidor de banco de dados e deve ser conectado somente a partir de endereços australianos. Eu posso ver muitos endereços de .ru, .tr, .fr, etc.

Todas essas conexões estão sendo usadas pelo PID 4, a imagem do sistema.

Eu fiz uma varredura com o Malwarebytes, que detectou zero problemas.

  1. Existe uma maneira de ver qual processo do sistema está usando essas conexões?
  2. Isso é algum tipo de worm e, em caso afirmativo, como posso localizá-lo?

Anexei uma imagem do tipo de endereço que estou vendo.

    
por Daniel Gee 11.06.2018 / 09:18

6 respostas

3

Não consigo responder à sua pergunta 1. Quanto à sua pergunta 2, provavelmente não é um worm no seu servidor se as conexões forem todas recebidas.

NO ENTANTO

Pessoas aleatórias da Internet não devem ter permissão para abrir qualquer tipo de conexão com seu servidor de banco de dados. Seu firewall deve permitir acesso de entrada para

  1. a porta para suas conexões administrativas, esperançosamente identificada pelo endereço IP de origem estática, se você tiver uma

  2. a porta para o serviço que você está fornecendo, que, esperamos, não seja um banco de dados diretamente, mas alguma interface da web, Apache ou IIS, por exemplo, talvez executando em uma máquina diferente.

Isso significa que você não precisa se perguntar com o que esses endereços estão se conectando, porque haverá apenas duas possibilidades.

Outra possibilidade é que as conexões sejam de saída. Nesse caso, o melhor é que são pesquisas de DNS que o seu servidor faz para identificar conexões de entrada (isso explicaria por que as conexões estão sendo usadas pela imagem do sistema). Na pior das hipóteses, é claro, algo como "seu servidor está totalmente comprometido, seus dados foram exportados para outra pessoa e você perderá o acesso a ele ou será modificado de maneiras que você não vai gostar, e seu servidor está sendo usado para fins ilegais que você vai ganhar uma visita da polícia "- espero que este não é o caso! Verificar se você tem backups atualizados é sempre bom.

Se você ainda vê essas conexões após restringir as conexões de entrada para as especificamente autorizadas, então você deve descarregar os pacotes de rede usando um sniffer de pacotes para ver quais são os pacotes, e se isso não responder às suas perguntas, então menos você terá muito mais dados para sua próxima pergunta.

Esta pode não ser a resposta que você estava procurando, mas como ninguém mais aceitou isso em dois dias, estou lhe dando o que posso.

TL; DR: Você precisa de um firewall.

    
por 13.06.2018 / 10:10
1

1 - Sim, existe: link

2 - Impossível dizer sem mais detalhes.

Existem muito worms, scanners, mecanismos de busca, idiotas e outros mecanismos de iniciação de conexão na internet. Não há como saber com uma quantidade tão grande de informações.

    
por 13.06.2018 / 16:18
0

Então, "Kyivstar" é um ISP ucraniano, e é bem conhecido por mensagens de spam originadas de IPs que ele hospeda. Aqui está um artigo falando sobre isso: link

Mais ou menos, como outros disseram, você terá que investir em algum tipo de mecanismo de bloqueio para IPs (por exemplo, firewall) que você considera "não legítimo". Isso, ou você pode configurar algum tipo de DMZ para qualquer aplicativo voltado ao público para o seu banco de dados: link

Espero que isso ajude.

    
por 19.06.2018 / 07:43
0

The server is used as database server and should only be connected from Australian addresses. I can see many addresses from .ru, .tr, .fr, etc.

Isso não é surpresa. Qualquer servidor acessível da Internet geral está sob ataque permanente. Se o serviço não for "protegido pela Internet", você precisa proteger o acesso à rede.

Uma proteção básica seria a triagem de endereços IP com base geográfica. Uma abordagem melhor inclui a lista branca explícita de clientes / ISPs desejados e criptografia SSL, é claro. Com usuários em roaming em todo o mundo, a VPN deve ser considerada.

    
por 19.06.2018 / 13:28
0

Aqui está outra maneira de descobrir mais sobre essas conexões. Obtenha o Process Explorer da Microsoft Sysinternals, depois execute-o como administrador, vá para o processo System , abra suas propriedades, vá para a aba TCP / IP, você pode ver essas conexões, juntamente com as portas e o protocolo que estão usando.

Espero que isso ajude.

    
por 19.06.2018 / 20:00
0

Se você expõe à Internet, Eles [TM] encontram você. Eu vou segundo a recomendação para firewall off seu servidor de banco de dados. Isso realmente não responde à sua pergunta.

Com base nos seus comentários especificando qual produto de banco de dados você está usando, talvez os usuários remotos estejam tentando executar um dos essas explorações do PostgreSQL . This vídeo de 2016 mostra alguém hackeando o PostgreSQL no linux. Eles também podem estar tentando explorar o servidor Windows 2012 R2 .

É trivial encontrar um servidor na Internet (eles [TM] têm scripts que examinam intervalos de IP) e descobrir quais serviços estão sendo executados (o nmap fará isso). É mais provável que seu servidor esteja sendo atacado ativamente do que você tenha um worm, IMHO.

    
por 20.06.2018 / 00:45