サーバーへの不正アクセスと思われる問題が発生していますので、以下の画像をご案内いたします。
イベント ログ ビューアを見ると、ログイン タイプが 10 であることがわかります (調査したところ、これはリモート ログインであることがわかりました)。しかし、ログインのソースは、ソース IP が であるローカル マシンです127.0.0.1
。
次に、Wireshark キャプチャには、ランダムなユーザー名で からlocalhost
へのトラフィックが表示されていlocalhost
ます。これを停止できる場所と方法を教えてください。また、リモート ログインのソース IP が である理由もわかりますlocalhost
。