Добрый день. Сегодня заметил 3 новых учётки (web user admin)на своем рабочем терминальном сервере. Работает на нем 10 моих клиентов у всех права Пользователей. Каким то чудесным образом появились 3 новых, я их удалил обратил внимание на рабочем столе одной из учёток была программа для рассылки спама не помню как называется, но суть не в том. Удалил левые учётки с обеда прихожу сегодня снова созданы со всеми возможными правами доступа и снова те же имена и софт снова появился. Как вычислить где дыра. На вирусы проверил, что то было найдено удалил.

В логе сервер постоянно пишет

Удаленный сеанс от клиента по имени a превысил максимальное число неудачных попыток входа. Сеанс был принудительно завершен.

Вот лог подключения левого пользователя user

Попытка входа с явным указанием учетных данных:
Вошедший пользователь:
Пользователь: TERM-SRV$
Домен: RFO190
Код входа: (0x0,0x3E7)
Код GUID: -
Были использованы учетные данные пользоваиеля:
Целевой пользователь: user
Целевой домен: TERM-SRV
Целевой код GUID: -

Имя целевого сервера: localhost
Данные целевого сервера: localhost
Код процесса вызывающего: 6292
Адрес сети источника: 41.138.173.80
Порт источника: 49304

пароли на пользователях сделайте по-сложней чем "123456", на админе соот-но тоже.

Вполне очевидно, что система взломана.

Опишите, как сервер подключен к локальной сети и к Интернету (доступен ли он снаружи).
Как ещё службы/программы установлены и работают на этой машине.
Какие меры по защите от взлома вы предприняли изначально.

Значит ситуация следующая. Сервер находится в локальной сети в интернете находится за маршрутиризатором Cisco клиенты заходят через mtsc по внешнему ip и перебрасываются на терминальный по стандартному порту. Другая часть клиентов работают через свою местную мультисервесную сеть и через прокси сервер который второй сетёвкой в моей сети так же попадают на мой сервер. После 3-х неправильных вводов пароля блок на 30 минут. Службы стандартные программы тоже ничего необычного только наши рабочие(бухгалтерские) работаю в бюджетной сфере. Сервер работает уже 5 лет проблем не было. Пароль у всех буквенно цифровой 8 символов. Сейчас заблокировал пользователей web и user теперь вход был час назад под Администратором с того же ip при чем пароль я сменил сегодня. На рабочем столе появляется картинка PUL9 видимо издёвка. Я уже думаю может сделать вход по сертификатам ?

Посмотрел службы, действительно было пара каких то "Левых" HP SI Service DokanMounter отключил

Скомпрометированную систему следует уничтожить и переустановить с нуля с заведомо чистых источников. Это больше не ваш компьютер.

Так понимаю, блокировка Администратора не задействована. Так понимаю, "белые списки" программ не задействованы. Ничего не сказано про обновления. Ничего не сказано про привилегии пользователей. Какие ещё порты перенаправлены, неизвестно. Скорее всего, фильтрация трафика по "белым спискам" тоже не задействована.

Уничтожать систему это конечно, сам понимаю, самое верное решение, но может быть существует какое либо решение найти брешь в системе? Блок Админа действительно нет. Система обновляется регулярно. Проброшенных портов других нет. Пользователи имеют только права пользователей и права удаленного пользователя рабочего стола без возможности установки ПО или вносить какие либо еще изменения в систему. Фильтрации трафика действительно нет.

Систем скомпрометирована. Это фактически приговор. Не надо держать хакера за дурака, он мог просчитать уже несколько сценариев вперёд и подготовиться. По-любому есть смысл заменить систему на более новую. Трафик терминального сервера 2003 легко перехватывается, и пароли пользователей я вам скажу за несколько секунд. Вход смарт-картами — мероприятие нетривиальное, если нет опыта, то нормально не осилите.

Уж за дурака его или её точно не держу, а так я Вас понял, благодарю за помощь! Буду ставить систему