Tengo un problema con lo que parece ser un acceso no autorizado a un servidor y me gustaría dirigirlo a las imágenes a continuación.
Visor de eventos:
Tiburón de alambre:
Desde el visor de registro de eventos veo que hay un tipo de inicio de sesión de 10 (que, según las investigaciones, es un inicio de sesión remoto). Sin embargo, la fuente del inicio de sesión es la máquina local con una IP de origen de 127.0.0.1.
En segundo lugar, mi captura de Wireshark muestra tráfico desde localhosta localhostcon nombres de usuario aleatorios. ¿Podrían indicarme dónde y cómo puedo detener esto y probablemente también descubrir cómo un inicio de sesión remoto tiene una IP de origen de localhost.