Неизвестные и странные успешные логины RDP в EventViewer
Часто сервис называют в честь демона. Попробовать /etc/init.d/sshd вместо этого.
Just because no user directory exists does not mean that users do not exist. Check the local user and service accounts in the MMC to validate that they really do not exist.
These symptoms are usually a sign of an RDP worm traversing a network. Also validate that any anti-malware utility you're running is up to date and run a full scan on that machine. If there is an RDP worm and there were successful logins then chances are that you're already infected.
Сетевой адрес источника должен дать вам представление о том, откуда эти соединения. Может быть, тогда вам будет проще устранить проблему. Убедитесь, что у вас включена безопасность для сеансов RDP. И да, возможно, вас взломали.
У меня была точно такая же проблема, и для воспроизведения результатов все, что мне нужно было сделать, это подключиться к удаленному компьютеру с помощью клиента rdp, у которого нет проверки подлинности на сетевом уровне (клиент rdp ubuntu), и ввести воображаемое имя пользователя. Мне был представлен экран входа в систему, и событие было зарегистрировано в средстве просмотра событий как успешная аутентификация удаленного рабочего стола. Однако не удалось войти в систему с использованием воображаемой учетной записи. Если возможно, я предлагаю вам включить аутентификацию на уровне сети для удаленного рабочего стола.
А, здесь то же самое. Я решил проблему, отключив публичный доступ к RDP, разрешив только соединения частной сети с сервером. Что, кстати, рекомендуется при получении доступа к вашему совершенно новому серверу.
.