Amazon の AWS に EC2 Windows サーバーがいくつかあるのですが、私のサーバーがインターネット上のリモート ホストでポート スキャンを実行しているというメッセージが Amazon から届いています。Malwarebytes と Trend Micro を使用して、マシンをウイルスやマルウェアのスキャンしてみましたが、何も検出されませんでした。サーバーがポート スキャンを実行するのを止めるにはどうしたらよいでしょうか。明確に言うと、私のサーバーが攻撃者です。
答え1
これらのポートスキャンを実行しているプロセスを見つけ出す必要があります。
netstat -b -a
アイデアは提供できるかもしれませんが、SysInternals ツールTcpvcon と TCPView では、プロセス名だけでなくプロセス ID も提供されます。
次に、そのプロセスをさらに調査します。
ポート スキャンが常に実行されない場合は、tcpvcon.exe を 1 時間ごとに実行するようにスケジュールし、その出力をファイルにパイプすることができます。