Noté que mi ancho de banda de enlace ascendente durante una prueba de velocidad parecía reducido, por lo que comencé a investigar la actividad de mi red con el Monitor de recursos. Descubrí que svchost.exe estaba transmitiendo ~ 2kB / s (~ 16kb / s) a 209.7.101.10 , según se informa Illinois Century Network, un proveedor de red troncal en Springfield, IL.
Con el explorador de procesos descubrí que este svchost.exe PID estaba vinculado a una sesión RDP mientras estaba conectado localmente. Deshabilité el acceso a escritorio remoto y el proceso que usaba el ancho de banda murió inmediatamente. Por supuesto, mi puerto RDP está abierto al mundo, por diseño, para que pueda acceder a él fuera de casa.
Me parece claro que hubo intentos no autorizados de acceder a mi PC de forma remota. ¿Cómo puedo determinar si un intento de inicio de sesión RDP fue exitoso?
Verifiqué los registros operativos de TerminalServices-RemoteConnectionManager y puedo ver lo que parece ser un puñado de nombres de usuario comunes: "formularios", "cecilia", "correo de voz", "diane", etc. Ninguno de esos Las cuentas existen en mi máquina. Aquí hay una entrada de muestra:
Remote Desktop Services: User authentication succeeded:
User: diane
Domain:
Source Network Address: 209.7.101.10
Mitigation
Mientras tanto, he deshabilitado el acceso a escritorio remoto. Si elijo restaurarlo, es probable que cambie el número de puerto predeterminado como mínimo. ¿Alguien sabe lo fácil que sería derrotar a través del escaneo de puertos? Un método más seguro sería configurar un túnel SSH, aunque la aplicación cliente de Microsoft Android RDP no admite esto.