Usuario "ASP" conectado al servidor de Windows - ¿intento de piratería?

Navega tus respuestas
0

Ejecuto un servidor Windows 2008 al que me conecto tanto a través de VNC como a través de escritorio remoto. Ayer, cuando me conecté a través de VNC, noté que otro usuario había iniciado sesión. Ver imágenes.

Notas:

  • No tengo idea de lo que es ASP. Parece ser una cuenta de invitado cuando la busqué en cuentas como Administrador.

  • No tengo idea de qué es "SCOOTER-PC".

  • Intenté mis contraseñas habituales para iniciar sesión como usuario de ASP, pero éstas eran incorrectas.

  • No he visto esto antes, y como recién comencé a usar el escritorio remoto, creo que es posible que esa sesión de alguna manera aún esté activa.

    
pregunta user3607022 17.09.2014 - 14:17
fuente

1 respuesta

1

¡Tu servidor parece estar comprometido!

los pasos que debe seguir es hacer inmediatamente un alcance de IP para el escritorio remoto y la aplicación VNC en el cortafuegos de Windows, de modo que solo la dirección IP del remoto (o LAN si está en la misma red) debería poder acceder a esto.

Además, la ASP del usuario debe eliminarse a la vez, asegúrese de ejecutar antivirusses como Malwarebytes e instalar actualizaciones para asegurarse de que no hay un keylogger, y cambiar las contraseñas para el administrador (y todos los demás usuarios, si los hay).

buena suerte!

    
respondido por el Lighty 17.09.2014 - 14:44
fuente

Lea otras preguntas en las etiquetas

¿Copia de seguridad del sistema en caso de ataque? JSON y cargas de pago codificadas con urlencoded en Burp Intruder