1 votes

Activité suspecte sur le port 3389. Mon système a-t-il été compromis ?

Duplicata possible :
Comment faire face à un serveur compromis ?

Aujourd'hui, j'ai ouvert TCPView pour voir ce qui causait beaucoup d'activité réseau sortante et je n'ai pu identifier que svchost.exe sur le port 3389 (qui, d'après ce que j'ai compris, est le port utilisé par le bureau à distance).

J'ai mis fin au processus presque immédiatement.

J'ai recherché l'adresse IP à laquelle il était connecté et j'ai découvert qu'elle provenait de Corée du Sud.

Je viens de découvrir dans le Windows Event Viewer sous "Applications and Services Log > Microsoft > Windows > TerminalServices-RemoteConnectionManager" près de 2000 événements qui se lisent comme suit :

Remote Desktop Services: User authentication succeeded:

User: administrator
Domain: 
Source Network Address: 1.214.253.235

Je voulais savoir si mon système avait effectivement été compromis et s'il m'était possible de suivre toute activité, telle que l'accès aux fichiers.

Quelle est la meilleure ligne de conduite à adopter pour éviter que cela ne se reproduise à l'avenir ? Ou n'ai-je pas à m'inquiéter ?

7voto

Michael Hampton Points 232226

Le message indique que l'administrateur s'est connecté avec succès via le bureau à distance depuis un endroit situé en Corée du Sud. Si l'administrateur n'est pas en Corée du Sud, vous avez été compromis.

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X