Eu tenho um servidor NT4 que nas últimas duas semanas começou a gerar muitas consultas DNS estranhas para o servidor DNS que está configurado para usar. Recebi avisos do sistema IPS de que ele bloqueou as respostas do servidor DNS de volta ao servidor NT4.
As consultas que ele gera não se referem a nenhum computador da rede, é como 120624100088.xxxxxxx.netonde xxxfica a rede interna, os números são apenas aleatórios a cada consulta.
Fiz algumas pesquisas sobre como obter o PID que está gerando as consultas e descobri que apenas o Process Monitor poderia me fornecer essa informação, mas como é o sistema NT4, o Process Monitor não funciona nele.
É um servidor de produção e simplesmente não consigo interromper os serviços como desejo.
Gostaria de receber seus conselhos sobre como posso obter o PID que está gerando essas consultas?
Obrigado.
Responder1
O comando netstat (linha de comando) também pode fornecer os PIDs dos processos. Talvez seja necessário executá-lo várias vezes, pois ele tira um instantâneo do estado das conexões de rede. Esse instantâneo pode perder aqueles que você realmente está interessado.
Você pode ter que mexer nas opções do comando. Definitivamente use -n porque isso acelera bastante o processamento. (Você está procurando DNS para poder filtrar qualquer saída que não se refira à porta 53 e ao endereço IP do servidor DNS.)
Se o processo for svchost.exe, você terá que usar o Process Monitor ou um utilitário semelhante (acredito que o ProcesExplorer da SysInternals ainda funciona no NT4, talvez seja necessário encontrar uma versão antiga dele) para determinar quais processos estão usando o svchost como intermediário.
Só uma pergunta... NT4 ?... conectado à Internet ?.... Alguém deveria levar um tiro por isso.