Возможный дубликат:
Как мне поступить с взломанным сервером?
Сегодня я открыл TCPView, чтобы увидеть, что вызывает большую исходящую сетевую активность, и смог идентифицировать svchost.exe только через порт 3389 (который, как я понимаю, используется удаленным рабочим столом).
Я закончил процесс практически сразу.
Я искал IP-адрес, к которому он был подключен, и обнаружил, что он происходит из Южной Кореи.
Я только что обнаружил в средстве просмотра событий Windows в разделе «Журнал приложений и служб> Microsoft> Windows> TerminalServices-RemoteConnectionManager» почти 2000 событий, которые выглядят примерно так:
Remote Desktop Services: User authentication succeeded:
User: administrator
Domain:
Source Network Address: 1.214.253.235
Я хотел знать, действительно ли моя система была взломана и могу ли я вообще отслеживать какую-либо активность; например, доступ к файлам.
Что лучше всего предпринять, чтобы этого не случилось в будущем? Или мне не о чем беспокоиться.
В нем говорится, что администратор успешно вошел в систему через удаленный рабочий стол откуда-то из Южной Кореи. Если администратора нет в Южной Корее, вас скомпрометировали.