公司使用的Windows电脑被入侵
1. 运行环境
我在公司使用的Windows电脑为了方便远程登录,打开了3389端口。由于我们的公司网络使用的是公网IP,我可以在家中远程登录到我的工作电脑。然而,今天我在公司工作时发现我的电脑被其他人登录,我被迫下线。我立即重新登录,并在Windows事件查看器中发现了一些不寻常的活动。
事件查看器显示,事件ID为4624的帐户登录事件每分钟触发了很多次,并且有很多次成功的登录。我还注意到了一个事件ID为5379的事件,这通常与用户凭据管理有关,表示可能有人尝试创建、读取、更新或删除凭据。但是,当我检查账户管理设置时,并未发现密码更改、新用户的创建或现有用户权限的更改。
在事件ID为4624的详细信息中,我注意到源网络地址每次都不一样,并且都是国外的代理。我开始怀疑我的电脑可能遭到了黑客的暴力破解攻击。但我想不明白的是,如果真的是黑客攻击,为什么我没有看到电脑的其他操作,比如修改密码,加密文件等。
想向专业的人士请教一下,理解这是怎么回事,并希望得到一些工具来扫描我电脑上可能存在的病毒文件。
推荐文章: