SO: Windows Server 2003 Ferramenta de monitoramento: CurrPorts
Ao monitorar o tráfego no servidor para o tráfego que sai na porta 80, exemplo de resultados:
5/1/2014 2:36:23 PM Adicionado cscript.exe TCP servidor-IP : 51560 207.34.231.48:80 5/1/2014 2:36:23 PM Adicionado cscript. exe TCP servidor-IP : 51574
Parece que o tráfego é iniciado por cscript.exe e vai para 207.34.231.48:80.
Eu usei o conselho aqui para verificar quais scripts são executados pelo cscript.exe no momento: link
No entanto, todos os resultados obtidos são scripts SCOM padrão, exemplo: "C: \ Windows \ system32 \ cscript.exe" / nologo "D: \ Arquivos de Programas \ System Center Operations Manager 2007 \ Estado do Serviço de Integridade \ Monitoring Host Temporary Arquivos 38 \ file.vbs "
Eu olhei no script e não obtenho nenhuma indicação sobre o que causa o tráfego de saída para 207.34.231.48:80.
Alguém pode recomendar qualquer passo que eu possa dar para identificar o que faz com que o servidor envie tráfego para esse IP?