Есть машинка с Windows 7 x86_64 (со всеми обновлениями), находится за натом (постоянный IP адрес), на неё проброшен только RDP (3389/tcp) порт.
Заметил, что на машинке часто (примерно через неделю аптайма) заканчивается свободная оперативная память. Никаких подозрительных процессов в диспетчере задач (и ProcessViewer'е от Руссиновича) не обнаружено.
Решил проверить RAMMap'ом (от того же Руссиновича) и обнаружил огромное количество групп ghost-процессов (winlogon.exe, csrss.exe, logonui.exe, smss.exe) с разными Session ID. Каждая группа занимает 4x4=16 KB Process private и 4x16=64 KB Page table. Заметил, что каждая группа (и с ней -80 KB свободной оперативки) появляется после RDP подключения с левого IP-адреса (видимо ботнетов и т.п.).
Есть у кого какие идеи?
P.S. Открывать доступ для конкретных сетей - не вариант, ибо доступ к машине должен быть со всего мира.
Заметил, что на машинке часто (примерно через неделю аптайма) заканчивается свободная оперативная память. Никаких подозрительных процессов в диспетчере задач (и ProcessViewer'е от Руссиновича) не обнаружено.
Решил проверить RAMMap'ом (от того же Руссиновича) и обнаружил огромное количество групп ghost-процессов (winlogon.exe, csrss.exe, logonui.exe, smss.exe) с разными Session ID. Каждая группа занимает 4x4=16 KB Process private и 4x16=64 KB Page table. Заметил, что каждая группа (и с ней -80 KB свободной оперативки) появляется после RDP подключения с левого IP-адреса (видимо ботнетов и т.п.).
Есть у кого какие идеи?
P.S. Открывать доступ для конкретных сетей - не вариант, ибо доступ к машине должен быть со всего мира.