一直没有太多的注意系统,以为自己系统很安全.
但是突然这几天发现悬浮窗口DU meter上常常不时有少量网络流量
但是此时没有任何访问网络动作,自己已经用防火墙隔离了除80,21外的所有端口.
觉得可疑就用优化大师看看开放的端口情况,发现有1028 UDP上注释可疑活动.
KILO,Susari
但是用fport查看为
864 inetinfo -> 1028 UDP D:\WIN2000\System32\inetsrv\inetinfo.exe
看起来没有问题,但是还是觉得有问题.
防火墙关了一段时间,就能看到135建立了连接!
或者自己去连他人了!
总感觉不正常!
有人知道是否1028被系统占用inetinfo.exe么
---------------------------------------------------------------
IIS的文件,没有问题撒
http://www.liutilities.com/products/wintaskspro/processlibrary/inetinfo/
---------------------------------------------------------------
一般来说,inetinfo.exe本身应该没有什么大问题,
有可能的是被注入了其他的木马呀什么的程序,
listdlls -r 864看看进程空间里面都加载了那些dll文件,
---------------------------------------------------------------
服务名称:IISADMIN
显示名称:IIS Admin Service
描述:允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。
可执行文件的路径:C:\WINNT\System32\inetsrv\inetinfo.exe
是属于正常的进程
---------------------------------------------------------------
正常的
正常的.
绝对是正常的.
---------------------------------------------------------------
IIS通常使用TCP的80和21端口,做http和ftp服务器,很少用UDP,至少我没见过,查木马吧