可能重复:
我该如何处理受到感染的服务器?
今天我打开了 TCPView 来查看是什么导致了大量出站网络活动,并且只能识别端口 3389 上的 svchost.exe(我理解这是远程桌面使用的端口)。
我几乎立即结束了这个过程。
我搜索了它所连接的IP地址,发现它来自韩国。
我刚刚在 Windows 事件查看器中的“应用程序和服务日志 > Microsoft > Windows > TerminalServices-RemoteConnectionManager”下发现了近 2,000 个类似于以下内容的事件:
Remote Desktop Services: User authentication succeeded:
User: administrator
Domain:
Source Network Address: 1.214.253.235
我想知道我的系统是否确实已被入侵,以及我是否有可能追踪任何活动;例如文件访问。
为防止将来再次发生这种情况,最好的应对措施是什么?或者我没什么可担心的。
答案1
它表示管理员已成功通过远程桌面从韩国某地登录。如果管理员不在韩国,则表明您已受到攻击。