Ich habe ein Problem mit einem scheinbar unbefugten Zugriff auf einen Server und möchte Sie auf die folgenden Bilder verweisen.
Ereignisanzeige:
Wireshark:
Im Ereignisprotokoll-Viewer sehe ich, dass es einen Anmeldetyp von 10 gibt (was laut Recherche ein Remote-Login ist). Die Quelle des Logins ist jedoch die lokale Maschine mit der Quell-IP von 127.0.0.1.
Zweitens zeigt meine Wireshark-Aufnahme Datenverkehr von localhostnach localhostmit zufälligen Benutzernamen. Könnten Sie mir bitte sagen, wo/wie ich das stoppen kann und vielleicht auch herausfinden, wie ein Remote-Login eine Quell-IP von hat localhost.