Atividade suspeita na porta 3389

1

Hoje abri o TCPView para ver o que estava causando muita atividade de rede de saída e só podia identificar o svchost.exe na porta 3389 (que eu entendo ser a porta usada pela área de trabalho remota).

Eu terminei o processo quase imediatamente.

Eu pesquisei o endereço IP ao qual ele estava conectado e descobri que ele é originário da Coreia do Sul.

Acabei de descobrir no Visualizador de Eventos do Windows em "Aplicativos e Log de Serviços > Microsoft > Windows > TerminalServices-RemoteConnectionManager" quase 2.000 eventos que parecem semelhantes a:

Remote Desktop Services: User authentication succeeded:
User: administrator
Domain: 
Source Network Address: 1.214.253.235

Isso acontece com usuários como sales3, secret3, shop3 - todos tiveram sucesso.

Eu queria saber como parece que meu sistema foi comprometido; É sempre possível para mim rastrear qualquer atividade, como acesso / modificação de arquivos.

E alguém pode aconselhar sobre o melhor curso de ação a ser tomado para evitar que isso aconteça no futuro?

Bummed me fora do meu espírito festivo

    
por TerryProbert 23.12.2012 / 19:29

2 respostas

0

Primeiro, você deve baixar um bom antivírus e antispyware, atualizar com as definições mais recentes e fazer uma varredura completa do sistema (no modo de segurança). E 'melhor, antes de digitalizar, desative o ASR. Evite fazer operações bancárias domésticas e operações que exijam informações confidenciais até que elas não resolvam o problema ... você pode ter um keylogger em seu sistema.

    
por 23.12.2012 / 19:51
-1

Isso se deve às configurações remotas que permitem que qualquer cliente RDP se conecte (cliente / conexão RDP do Ubuntu, por exemplo). Eu apenas repliquei isso no meu fim. Ele dirá que a autenticação foi bem-sucedida, mas, na realidade, tudo o que aconteceu foi que o cliente RDP se conectou remotamente à tela de login do Windows, mas não conseguiu efetuar login no sistema.

Seu sistema é mais do que provável. Basta ativar a autenticação NLA somente para que as configurações remotas sejam mais seguras.

    
por 27.10.2016 / 22:20