今天我打开了 TCPView 来查看是什么导致了大量出站网络活动,并且只能识别端口 3389 上的 svchost.exe(我理解这是远程桌面使用的端口)。
我几乎立即结束了这个过程。
我搜索了它所连接的IP地址,发现它来自韩国。
我刚刚在 Windows 事件查看器中的“应用程序和服务日志 > Microsoft > Windows > TerminalServices-RemoteConnectionManager”下发现了近 2,000 个类似于以下内容的事件:
Remote Desktop Services: User authentication succeeded:
User: administrator
Domain:
Source Network Address: 1.214.253.235
这适用于 sales3、secret3、shop3 等用户 - 全部成功。
我想知道,因为我的系统似乎已经被入侵了;我是否可以跟踪任何活动,例如文件访问/修改。
有人能建议采取最佳行动来防止将来再次发生这种情况吗?
让我失去了节日的兴致
答案1
首先,您应该下载一款优秀的防病毒和反间谍软件,使用最新定义进行升级,并对系统进行全面扫描(在安全模式下)。最好在扫描之前禁用 ASR。在问题解决之前,避免对家庭银行和需要保密信息的操作进行保密……您的系统上可能存在键盘记录器。
答案2
这是因为您的远程设置允许任何 RDP 客户端连接(以 Ubuntu RDP 客户端/连接为例)。我刚刚在我的终端上复制了此操作。它会说身份验证成功,但实际上,发生的只是 RDP 客户端远程连接到 Windows 登录屏幕,但无法登录系统。
您的系统很可能没有问题。只需为远程设置启用 NLA 身份验证即可提高安全性。