VM von extern angegriffen?

R

reaper2k11

Gast
Hallo,
ich habe eine Win 7 VM, damit ich von außerhalb mit RDP auf die Kiste zugreifen kann (und somit auch auf meine Sachen)
Heute mal wieder den Hyper-V aufgemacht und festgestellt, dass die Kiste im Idle (wurde erst mit nem Task neu gestartet) bei 40-50 CPU Last mit 2Cores liegt.

dann angemeldet -> netstat -n. Was mir komisch vorkam waren:

Proto Lokale Adresse Remoteadresse Status
TCP 192.168.0.64:49254 192.168.0.25 Wartend

Registriert auf einen Israeler und Location in Deutschland.

Dann noch ein Eintrag zu einer anderen WinVM

So wie ich das erstmal erkennen würde, war eine Verbindung über das RDP Protokoll zu dem Israeler hergestellt worden.

Im Taskmanager war nichts außergewöhnliches zu erkennen.
Nach ner halben Minute nocheinmal netstat -n und die Einträge waren weg. Bei der Remotedesktopverbindung ist ja die Eigenschaft, dass wenn sich jemand an die Kiste anmeldet, die andere Sitzung geschlossen wird (Ausnahme Win Server).

Was meint ihr?
 
Zuletzt bearbeitet:
R

reaper2k11

Gast
ipmgui.exe (Avira Antivir)
Leerlaufprozess
svchost.exe
und sowas wie WMICTNW (Windows Mediaplayer Netzwerk ....)

So ganz genau kann ich das nicht sagen, am höchsten war der svchost.exe und Leerlaufprozess

EDIT: Diese Nacht standen 141 Ereignisse zur "TerminalServices-RemoteConnectionManager" drin
->Die Remotesitzung von Client a hat die maximal zulässigen Anmeldeversuche überschritten. Die Sitzung wird abgebrochen
von 4.42 bis 5. 20 Uhr

Die Tage davor auch in etwa so viele Versuche bzw Ereignisse.
 
Zuletzt bearbeitet:
Top