¿Cómo puedo determinar si la piratería de Escritorio remoto fue exitosa?

2

Noté que mi ancho de banda de enlace ascendente durante una prueba de velocidad parecía reducido, por lo que comencé a investigar la actividad de mi red con el Monitor de recursos. Descubrí que svchost.exe estaba transmitiendo ~ 2kB / s (~ 16kb / s) a 209.7.101.10 , según se informa Illinois Century Network, un proveedor de red troncal en Springfield, IL.

Con el explorador de procesos descubrí que este svchost.exe PID estaba vinculado a una sesión RDP mientras estaba conectado localmente. Deshabilité el acceso a escritorio remoto y el proceso que usaba el ancho de banda murió inmediatamente. Por supuesto, mi puerto RDP está abierto al mundo, por diseño, para que pueda acceder a él fuera de casa.

Me parece claro que hubo intentos no autorizados de acceder a mi PC de forma remota. ¿Cómo puedo determinar si un intento de inicio de sesión RDP fue exitoso?

Verifiqué los registros operativos de TerminalServices-RemoteConnectionManager y puedo ver lo que parece ser un puñado de nombres de usuario comunes: "formularios", "cecilia", "correo de voz", "diane", etc. Ninguno de esos Las cuentas existen en mi máquina. Aquí hay una entrada de muestra:

Remote Desktop Services: User authentication succeeded:

User: diane
Domain: 
Source Network Address: 209.7.101.10

Mitigation

Mientras tanto, he deshabilitado el acceso a escritorio remoto. Si elijo restaurarlo, es probable que cambie el número de puerto predeterminado como mínimo. ¿Alguien sabe lo fácil que sería derrotar a través del escaneo de puertos? Un método más seguro sería configurar un túnel SSH, aunque la aplicación cliente de Microsoft Android RDP no admite esto.

    
pregunta glenviewjeff 17.11.2016 - 03:19
fuente

1 respuesta

2

Las ediciones de Windows que no son de servidor solo permiten que un usuario inicie sesión a la vez, por lo que un inicio de sesión exitoso a través de RDP lo expulsará y probablemente se dará cuenta.

También puede encontrar un inicio de sesión RDP exitoso en los registros de eventos de seguridad mirando el tipo de inicio de sesión. Es posible utilizar un filtro XPath para esto.

El uso del ancho de banda que está viendo es probablemente RDP al servicio de la pantalla de inicio de sesión. Puede cambiar la configuración para requerir la autenticación de nivel de red, que valida las credenciales antes de que se pueda establecer una conexión (sin pantalla de inicio de sesión).

    
respondido por el billc.cn 22.11.2016 - 17:53
fuente

Lea otras preguntas en las etiquetas