Подозрительная активность на порту 3389

Question

Сегодня я открыл TCPView, чтобы посмотреть, что вызывает большую активность исходящей сети, и смог определить только svchost.exe на порту 3389 (который, как я понимаю, является портом, используемым удаленным рабочим столом).

Я закончил процесс почти сразу.

Я искал IP-адрес, к которому он был подключен, и обнаружил, что он происходит в Южной Корее.

Я только что обнаружил в средстве просмотра событий Windows в разделе «Журнал приложений и служб> Microsoft> Windows> TerminalServices-RemoteConnectionManager» почти 2000 событий, которые читаются примерно так:

Remote Desktop Services: User authentication succeeded:
User: administrator
Domain: 
Source Network Address: 1.214.253.235

Это продолжается для таких пользователей, как sales3, secret3, shop3 - все успешно.

Я хотел знать, так как кажется, что моя система была взломана; Для меня вообще возможно отследить любую деятельность, такую как доступ к файлу / изменение.

И может ли кто-нибудь посоветовать, как лучше поступить, чтобы предотвратить это в будущем?

Выбил меня из моего праздничного духа

Answer 1

Во-первых, вы должны загрузить хорошие антивирусные и антишпионские программы, обновить их до последних определений и выполнить тщательное сканирование системы (в безопасном режиме). И лучше, прежде чем сканировать, отключите ASR. Старайтесь не делать домашние банковские операции и операции, в которых требуется информация, конфиденциальной, пока это не решит проблему ... в вашей системе может быть кейлоггер.

Answer 2

Это связано с тем, что ваши удаленные настройки позволяют любому клиенту RDP подключаться (например, клиент / подключение Ubuntu RDP). Я просто повторил это на моем конце. Будет сказано, что аутентификация прошла успешно, но на самом деле все, что произошло, - это клиент RDP, удаленно подключенный к экрану входа в Windows, но не смог войти в систему.

Ваша система, скорее всего, в порядке. Просто включите аутентификацию NLA только для удаленных настроек, чтобы быть более безопасными.