Come posso determinare se l'hacking di Desktop remoto ha avuto esito positivo?

2

Ho notato che la mia larghezza di banda di uplink durante un test di velocità sembrava ridotta, così ho iniziato a studiare la mia attività di rete con Resource Monitor. Ho scoperto che svchost.exe stava trasmettendo ~ 2kB / sec (~ 16kb / s) a 209.7.101.10 , come riferito Illinois Century Network, un fornitore di backbone a Springfield, Illinois.

Con Process Explorer ho scoperto che questo svchost.exe PID era legato a una sessione RDP mentre ero loggato localmente. Ho disabilitato l'accesso al desktop remoto e il processo che utilizzava la larghezza di banda è morto immediatamente. Naturalmente la mia porta RDP è aperta al mondo, in base alla progettazione, in modo che possa accedervi da casa.

Mi sembra chiaro che ci sono stati tentativi non autorizzati di accedere al mio PC da remoto. Come posso determinare se un tentativo di accesso RDP è andato a buon fine o meno?

Ho controllato i log operativi di TerminalServices-RemoteConnectionManager e posso vedere ciò che sembra essere un'infarinatura di nomi utente comuni: "forms", "cecilia", "voicemail", "diane", ecc. Nessuno di quelli gli account esistono sulla mia macchina. Ecco una voce di esempio:

Remote Desktop Services: User authentication succeeded:

User: diane
Domain: 
Source Network Address: 209.7.101.10

Mitigazione

Nel frattempo, ho disabilitato l'accesso al desktop remoto. Se scelgo di ripristinarlo, probabilmente modifica il numero di porta predefinito al minimo. Qualcuno sa quanto sarebbe facile sconfiggere via port scanning? Un metodo più sicuro sarebbe la creazione di tunnel SSH, anche se l'applicazione client RDP Android di Microsoft non supporta questo.

    
posta glenviewjeff 17.11.2016 - 03:19
fonte

1 risposta

2

Le edizioni non server di Windows consentono solo a un utente di accedere alla volta, quindi un accesso riuscito tramite RDP ti darà un calcio d'inizio e probabilmente lo noterai.

È inoltre possibile trovare il login RDP corretto nei registri eventi di sicurezza esaminando il tipo di accesso. È possibile utilizzare un filtro XPath per questo.

L'utilizzo della larghezza di banda che stai vedendo è probabilmente RDP che serve la schermata di accesso. È possibile modificare le impostazioni per richiedere l'autenticazione a livello di rete che convalida le credenziali prima di poter stabilire una connessione (nessuna schermata di accesso).

    
risposta data 22.11.2016 - 17:53
fonte

Leggi altre domande sui tag