サーバーへの不正アクセスと思われる問題が発生していますので、以下の画像をご案内いたします。
イベントビューアー:
ワイヤーシャーク:
イベント ログ ビューアを見ると、ログイン タイプが 10 であることがわかります (調査したところ、これはリモート ログインであることがわかりました)。しかし、ログインのソースは、ソース IP が であるローカル マシンです127.0.0.1。
次に、Wireshark キャプチャには、ランダムなユーザー名で からlocalhostへのトラフィックが表示されていlocalhostます。これを停止できる場所と方法を教えてください。また、リモート ログインのソース IP が である理由もわかりますlocalhost。