Duplicata possible :
Comment faire face à un serveur compromis ?
Aujourd'hui, j'ai ouvert TCPView pour voir ce qui causait beaucoup d'activité réseau sortante et je n'ai pu identifier que svchost.exe sur le port 3389 (qui, d'après ce que j'ai compris, est le port utilisé par le bureau à distance).
J'ai mis fin au processus presque immédiatement.
J'ai recherché l'adresse IP à laquelle il était connecté et j'ai découvert qu'elle provenait de Corée du Sud.
Je viens de découvrir dans le Windows Event Viewer sous "Applications and Services Log > Microsoft > Windows > TerminalServices-RemoteConnectionManager" près de 2000 événements qui se lisent comme suit :
Remote Desktop Services: User authentication succeeded:
User: administrator
Domain:
Source Network Address: 1.214.253.235
Je voulais savoir si mon système avait effectivement été compromis et s'il m'était possible de suivre toute activité, telle que l'accès aux fichiers.
Quelle est la meilleure ligne de conduite à adopter pour éviter que cela ne se reproduise à l'avenir ? Ou n'ai-je pas à m'inquiéter ?