可能重复:
我如何处理受损的服务器?
今天,我打开TCPView,看看是什么导致了很多出站networking活动,只能识别端口3389(我明白是远程桌面使用的端口)svchost.exe。
我几乎立即结束了这个过程。
我search了它所连接的IP地址,发现它来自韩国。
我刚刚在Windows应用程序和服务日志“Microsoft> Windows> TerminalServices-RemoteConnectionManager”下的Windows事件查看器中发现了近2000个类似于以下内容的事件:
Remote Desktop Services: User authentication succeeded: User: administrator Domain: Source Network Address: 1.214.253.235 我想知道我的系统是否确实受到了损害,我是否完全有可能跟踪任何活动; 如文件访问。
今后要防止这种情况发生的最好的方法是什么? 或者我没有什么可担心的。
它说,pipe理员成功通过远程桌面login在韩国的某个地方。 如果pipe理员不在韩国,你已经被入侵了。