3389 numaralı limanda şüpheli etkinlik

Bugün çok fazla giden ağ etkinliğine neyin neden olduğunu görmek için TCPView'ü açtım ve yalnızca 3389 numaralı bağlantı noktasındaki svchost.exe'yi (uzak masaüstü tarafından kullanılan bağlantı noktası olmayı anlıyorum) tanımlayabiliyorum.

Süreci neredeyse bitirdim.

Bağlandığı IP adresini aradım ve Güney Kore’den geldiğini keşfettim.

Windows Olay Görüntüleyicisi'nde "Benzer Uygulamalar ve Hizmetler Günlüğü & Microsoft; gt & Windows;

Remote Desktop Services: User authentication succeeded:
User: administrator
Domain: 
Source Network Address: 1.214.253.235

Bu, sales3, secret3, shop3 gibi kullanıcılarla devam ediyor - hepsi başarılı oldu.

Sistemimin tehlikeye girdiği anlaşılıyor; dosya erişimi / değişikliği gibi herhangi bir etkinliği izlemem mümkün.

Ve gelecekte bunu önlemek için yapılması gereken en iyi eylem hakkında herhangi biri tavsiye verebilir mi?

Festival ruhumdan beni korkuttun

Öncelikle, iyi bir antivirüs ve antispyware indirmeli, en son tanımlarla güncellemeli ve sistemin kapsamlı bir taramasını yapmalısınız (güvenli modda). Ve 'daha iyisi, taramadan önce, ASR'yi devre dışı bırakın. Ev bankacılığını yapmaktan ve sorunu çözene kadar bilgileri gizli tutmaktan kaçının ... sisteminizde bir keylogger olabilir.

Bunun nedeni, herhangi bir RDP istemcisinin bağlanmasına izin veren uzak ayarlarınızdır (örnek olarak Ubuntu RDP istemcisi / bağlantısı). Ben sadece bunu kendi tarafıma kopyaladım. Kimlik doğrulamanın başarılı olduğunu söyleyecektir, ancak gerçekte olan tek şey, Windows Giriş ekranına uzaktan bağlı RDP istemcisiydi, ancak sisteme giriş yapamıyordu.

Sisteminiz muhtemelen daha iyi durumda. Sadece uzaktan ayarların daha güvenli olması için NLA kimlik doğrulamasını açmanız yeterlidir.