在3389港口有可疑活动。我的系统被破坏了吗？

Question

可能重复: 如何处理受威胁的服务器？

今天，我打开了TCPView，看看是什么导致了大量的出站网络活动，并且只能识别端口3389上的svchost.exe (据我所知，它是远程桌面使用的端口)。

我几乎立刻就结束了这个过程。

我搜索了它所连接的IP地址，发现它起源于韩国。

我刚刚在Windows事件查看器中发现了“应用程序和服务日志> Microsoft > Windows > TerminalServices-RemoteConnectionManager”下的近2,000个类似于以下内容的事件：

Remote Desktop Services: User authentication succeeded:

User: administrator
Domain: 
Source Network Address: 1.214.253.235

我想知道我的系统是否真的被破坏了，我是否有可能跟踪任何活动，比如文件访问。

防止今后发生这种情况的最佳行动方针是什么。或者我没什么好担心的。

Answer 1

它说，管理员成功地通过远程桌面登录，从韩国某处。如果管理员不在韩国，你就被破坏了。