Varredura de porta suspeita de spoolsv.exe no Windows server 2003 com a função de servidor de impressão

Question

Varredura de porta suspeita de spoolsv.exe no Windows server 2003 com a função de servidor de impressão

#1 resposta do (1 votos)

1

Notado hoje em um dos servidores, o visualizador de eventos / segurança tem muitas mensagens "Failure audit" como esta:

A mensagem é repetida a cada segundo e o número da porta é aumentado em um, sendo o intervalo de portas de 1025 para 5000 e, em seguida, novamente. Para mim, essa "varredura de porta" parece bastante suspeita!

Eu tentei executar o TCPView para descobrir mais detalhes, mas ele só mostra o processo, sua ID e porta. Isso é por design para spoolsv.exe para agir assim? Ou isso é algum tipo de malware? Alguém já viu isso antes?

Servidor de arquivos & As funções do servidor de impressão estão instaladas no servidor.

malware printing windows-server-2003 windows-event-log port-scanning

por Volodymyr M. 18.03.2013 / 15:27

1 resposta

Tags malware printing windows-server-2003 windows-event-log port-scanning

acesso anônimo ao icinga cgi Consumo de largura de banda de replicação do Active Directory

score 1 · Accepted Answer

Bem, depois que os monitores de impressão padrão e não padrão foram definidos, fizemos backup de todos eles e, em seguida, removemos TODOS os monitores de impressão não padrão com a reinicialização subsequente do Spooler de Impressão . Depois disso, não houve mais eventos no visualizador de eventos e, até o momento, não recebemos reclamações de usuários finais.

Aqui está a lista de monitores de impressão padrão:

Monitor de idioma BJ
Porta local
Monitor de Idiomas PJL
Porta TCP / IP padrão
Monitor USB