Ele diz que o administrador fez login com êxito via Remote Desktop em algum lugar na Coreia do Sul. Se o administrador não estiver na Coreia do Sul, você foi comprometido.
Hoje abri o TCPView para ver o que estava causando muita atividade de rede de saída e só podia identificar o svchost.exe na porta 3389 (que eu entendo ser a porta usada pela área de trabalho remota).
Eu terminei o processo quase imediatamente.
Eu pesquisei o endereço IP ao qual ele estava conectado e descobri que ele é originário da Coreia do Sul.
Acabei de descobrir no Visualizador de Eventos do Windows em "Aplicativos e Log de Serviços > Microsoft > Windows > TerminalServices-RemoteConnectionManager" quase 2.000 eventos que parecem semelhantes a:
Remote Desktop Services: User authentication succeeded:
User: administrator
Domain:
Source Network Address: 1.214.253.235
Eu queria saber se meu sistema foi de fato comprometido e se é possível para mim rastrear qualquer atividade; como acesso a arquivos.
Qual é o melhor curso de ação a ser tomado para evitar que isso aconteça no futuro? Ou não tenho nada com que me preocupar.
Ele diz que o administrador fez login com êxito via Remote Desktop em algum lugar na Coreia do Sul. Se o administrador não estiver na Coreia do Sul, você foi comprometido.