Я использую Server 2012 R2.
Когда я смотрю на вкладку Сеть в Мониторе ресурсов, я вижу странные сетевые адреса, которые длятся несколько секунд, а затем исчезают.
Сервер используется в качестве сервера базы данных и должен подключаться только с австралийских адресов. Я вижу множество адресов из .ru, .tr, .fr и т.д.
Все эти соединения используются PID 4, образом системы.
Я запустил сканирование с помощью Malwarebytes, которое выявило ноль проблем.
Я приложил изображение адресов, которые я вижу.
Я не могу ответить на ваш вопрос 1. Что касается вашего вопроса 2, это, вероятно, не червь на вашем сервере если соединения все входящие.
КАК БЫ ТО НИ БЫЛО
Случайным людям из Интернета не должно быть позволено открывать любые соединения с вашим сервером баз данных. Ваш брандмауэр должен разрешить входящий доступ к
порт для ваших административных соединений, который, надеюсь, идентифицируется вашим статическим IP-адресом источника, если он у вас есть
порт для предоставляемого вами сервиса, который, надеюсь, не является непосредственно базой данных, а каким-то веб-интерфейсом, например, Apache или IIS, возможно, запущенным на другой машине.
Это означает, что вам не нужно задаваться вопросом, к чему подключаются эти адреса, потому что есть только две возможности.
Другая возможность заключается в том, что соединения являются исходящими. Если это так, то в лучшем случае это DNS-поиск, который выполняет ваш сервер для идентификации входящих соединений (это объясняет, почему эти соединения используются образом системы). Худший случай, конечно, что-то вроде "ваш сервер полностью взломан, ваши данные были экспортированы кому-то другому, и вы потеряете к ним доступ, или они будут изменены так, что вам не понравится, и ваш сервер используется в незаконных целях, что приведет к визиту полиции" - надеюсь, это не тот случай! Всегда полезно проверять наличие актуальных резервных копий.
Если вы все еще видите эти соединения после ограничения входящих соединений до специально разрешенных, то вам следует сбросить сетевые пакеты с помощью сниффера пакетов, чтобы увидеть, что это за пакеты, и если это не ответит на ваши вопросы, то по крайней мере у вас будет гораздо больше данных для следующего вопроса.
Возможно, это не тот ответ, который вы искали, но поскольку за два дня никто больше не ответил на ваш вопрос, я даю вам то, что могу.
TL;DR: Вам нужен брандмауэр..
1 - Да, есть: https://docs.microsoft.com/en-us/sysinternals/downloads/tcpview
2 - Невозможно сказать без более подробной информации.
В Интернете существует много червей, сканеров, поисковых систем, идиотов и других механизмов, инициирующих соединение. Невозможно узнать, имея такой не очень большой объем информации.
Итак, "Киевстар" - это украинский интернет-провайдер, и он довольно хорошо известен спамовыми сообщениями, которые приходят с IP-адресов, на которых он размещается. Вот статья, рассказывающая об этом: https://glimmernet.com/blog/blocking-kyivstar-from-accessing-your-wordpress-site/
Более или менее, как уже говорили другие, вам придется инвестировать в какой-нибудь механизм блокировки IP-адресов (например, брандмауэр), которые вы считаете "не легитимными". Это, или вы можете установить что-то вроде DMZ для любого приложения, предназначенного для публичного доступа к вашей базе данных: https://www.techrepublic.com/article/lock-it-down-implementing-a-dmz/.
Надеюсь, это поможет.