Necesito ayuda para rastrear la fuente de estos intentos de acceso RDP en nuestro servidor de terminal.
El puerto 3389 está abierto en el firewall (sé que esta es una práctica terrible. No quiero escuchar consejos sobre el uso de una VPN para el acceso a la LAN). Revisé las auditorías de seguridad y puedo ver que nos golpean cada segundo con un ataque de diccionario. He comprobado los eventos operativos RemoteDesktopServices-RdpCoreTS para las direcciones IP. Ninguna dirección IP ha tenido entradas repetidas, excepto aproximadamente 1 o 2 ... así que creo que están falsificando la IP.
Nuestro firewall tampoco muestra conexiones de puerto 3389 activas durante los ataques.
¿Es posible que haya una infección en una computadora local causando esto? Es muy confuso, pero todavía estoy en la escuela, así que no estoy completamente equipado con conocimientos.