SO:Servidor Windows 2003Herramienta de seguimiento:Puertos actuales
Al monitorear el tráfico en el servidor para detectar tráfico que sale por el puerto 80, ejemplo de resultados:
01/05/2014 2:36:23 p.m. Se agregó cscript.exe TCPservidor IP:51560 207.34.231.48:80 1/5/2014 2:36:23 p.m. Se agregó cscript.exe TCPservidor IP:51574
Parece que el tráfico lo inicia cscript.exe y va a 207.34.231.48:80.
Utilicé los consejos aquí para comprobar qué scripts ejecuta cscript.exe en ese momento:http://blogs.msdn.com/b/gstemp/archive/2004/02/13/72505.aspx
Sin embargo, todos los resultados que obtengo son scripts SCOM estándar, por ejemplo: "C:\Windows\system32\cscript.exe" /nologo "D:\Program Files\System Center Operations Manager 2007\Health Service State\Monitoring Host Temporary Files 38\ archivo.vbs"
Miré el script y no obtuve ninguna pista sobre qué causa el tráfico saliente a 207.34.231.48:80.
¿Alguien puede recomendar algún paso que pueda seguir para identificar qué causa que el servidor envíe tráfico a esa IP?