リモートデスクトップのイベントログが200を超えていて違和感を覚えて調べてみたところ ログイン失敗のイベントログが1:30から15秒おきに大量にありました。 クライアント名 a のリモート セッションは最大失敗ログイン試行回数を超過しました。セッションは強制終了されました。 パスワードの総当たりのアタック?だとなんとなく推測したのはいいのですが、2:54で一回失敗が止まり、6:00に次のイベントログがありました。 ユーザー: SYSTEM サポートされた追加のデバイスのリダイレクトは、ポリシーによって無効にされています。 Microsoft-Windows-TerminalServices-PnPDevices 2012-11-29T21:00:49.458800000Z これは侵入されてなにかしらことをされた、であってるのでしょうか サーバーを借りて間もないので情報の流出等はないとは思うのですがどうしても気になります。 ついでに10:36からまたログイン失敗のログが大量にありました。 セキュリティについてあまり考えてなかった&初めてのサーバーで正直どうすればいいのかわかりません。 OSの再インストールをしたほうがいいでしょうか、対策方法はないでしょうか 詳しい方回答お願いいたします。 【性能】 OS : Windows Server Standerd 2008 R2 環境 : VPS
↧