Hoje abri o TCPView para ver o que estava causando muita atividade de rede de saída e só podia identificar o svchost.exe na porta 3389 (que eu entendo ser a porta usada pela área de trabalho remota).
Eu terminei o processo quase imediatamente.
Eu pesquisei o endereço IP ao qual ele estava conectado e descobri que ele é originário da Coreia do Sul.
Acabei de descobrir no Visualizador de Eventos do Windows em "Aplicativos e Log de Serviços > Microsoft > Windows > TerminalServices-RemoteConnectionManager" quase 2.000 eventos que parecem semelhantes a:
Remote Desktop Services: User authentication succeeded:
User: administrator
Domain:
Source Network Address: 1.214.253.235
Isso acontece com usuários como sales3, secret3, shop3 - todos tiveram sucesso.
Eu queria saber como parece que meu sistema foi comprometido; É sempre possível para mim rastrear qualquer atividade, como acesso / modificação de arquivos.
E alguém pode aconselhar sobre o melhor curso de ação a ser tomado para evitar que isso aconteça no futuro?
Bummed me fora do meu espírito festivo
Primeiro, você deve baixar um bom antivírus e antispyware, atualizar com as definições mais recentes e fazer uma varredura completa do sistema (no modo de segurança). E 'melhor, antes de digitalizar, desative o ASR. Evite fazer operações bancárias domésticas e operações que exijam informações confidenciais até que elas não resolvam o problema ... você pode ter um keylogger em seu sistema.
Isso se deve às configurações remotas que permitem que qualquer cliente RDP se conecte (cliente / conexão RDP do Ubuntu, por exemplo). Eu apenas repliquei isso no meu fim. Ele dirá que a autenticação foi bem-sucedida, mas, na realidade, tudo o que aconteceu foi que o cliente RDP se conectou remotamente à tela de login do Windows, mas não conseguiu efetuar login no sistema.
Seu sistema é mais do que provável. Basta ativar a autenticação NLA somente para que as configurações remotas sejam mais seguras.