Ho notato che la mia larghezza di banda di uplink durante un test di velocità sembrava ridotta, così ho iniziato a studiare la mia attività di rete con Resource Monitor. Ho scoperto che svchost.exe stava trasmettendo ~ 2kB / sec (~ 16kb / s) a 209.7.101.10 , come riferito Illinois Century Network, un fornitore di backbone a Springfield, Illinois.
Con Process Explorer ho scoperto che questo svchost.exe PID era legato a una sessione RDP mentre ero loggato localmente. Ho disabilitato l'accesso al desktop remoto e il processo che utilizzava la larghezza di banda è morto immediatamente. Naturalmente la mia porta RDP è aperta al mondo, in base alla progettazione, in modo che possa accedervi da casa.
Mi sembra chiaro che ci sono stati tentativi non autorizzati di accedere al mio PC da remoto. Come posso determinare se un tentativo di accesso RDP è andato a buon fine o meno?
Ho controllato i log operativi di TerminalServices-RemoteConnectionManager e posso vedere ciò che sembra essere un'infarinatura di nomi utente comuni: "forms", "cecilia", "voicemail", "diane", ecc. Nessuno di quelli gli account esistono sulla mia macchina. Ecco una voce di esempio:
Remote Desktop Services: User authentication succeeded:
User: diane
Domain:
Source Network Address: 209.7.101.10
Mitigazione
Nel frattempo, ho disabilitato l'accesso al desktop remoto. Se scelgo di ripristinarlo, probabilmente modifica il numero di porta predefinito al minimo. Qualcuno sa quanto sarebbe facile sconfiggere via port scanning? Un metodo più sicuro sarebbe la creazione di tunnel SSH, anche se l'applicazione client RDP Android di Microsoft non supporta questo.