[Anton04]

Цитата Candyman:

На нем с периодичностью раз в 3-5 секунд валятся в лог безопасности события: »

Стандартная попытка перебора пароля. Ничего странного.
Судя по тому что у Вас не указан IP источника можно сделать вывод, что сервер у Вас стоит за роутером.

Рекомендации: минимум сменить стандартный RDP порт на роутере на не стандартный, т.е. настроить типа WAN порт 60123 пробросить на IP сервера порт 3389.
Рекомендации максимум, использовать VPN или посредник подключения к RDP.

[Candyman]

Цитата Anton04:

Рекомендации: минимум сменить стандартный RDP порт на роутере на не стандартный, т.е. настроить типа WAN порт 60123 пробросить на IP сервера порт 3389. Рекомендации максимум, использовать VPN или посредник подключения к RDP. »

Да, сервер стоит за роутером на котором настроен проброс портов с нестандартного (xx89) на серверный 3389.

Убрал правило проброса портов, настроил VPN - события продолжают появляться в логах, только частота их заметно снизилась и появились еще одни:

Журнал событий

Вход с учетной записью выполнен успешно.

Субъект:
ИД безопасности: NULL SID
Имя учетной записи: -
Домен учетной записи: -
Код входа: 0x0

Тип входа: 3

Уровень олицетворения: Олицетворение

Новый вход:
ИД безопасности: АНОНИМНЫЙ ВХОД
Имя учетной записи: АНОНИМНЫЙ ВХОД
Домен учетной записи: NT AUTHORITY
Код входа: 0x167156C
GUID входа: {00000000-0000-0000-0000-000000000000}

Сведения о процессе:
Идентификатор процесса: 0x0
Имя процесса: -

Сведения о сети:
Имя рабочей станции: WIN-CBDILLR25RB
Сетевой адрес источника: fe80::bca2:d1a7:4453:7d6f
Порт источника: 56903

Сведения о проверке подлинности:
Процесс входа: NtLmSsp
Пакет проверки подлинности: NTLM
Промежуточные службы: -
Имя пакета (только NTLM): NTLM V1
Длина ключа: 128

[mwz]

Цитата Candyman:

Имя рабочей станции: WIN-CBDILLR25RB »

А такая рабочая станция в сети есть? Проверить бы её на троянов...

[Candyman]

Цитата mwz:

А такая рабочая станция в сети есть? Проверить бы её на троянов... »

Так WIN-CBDILLR25RB - это и есть сам сервер (обозвали его так, не виноват он).
Сканирование на вирусы положительного результата не выявило.

[Anton04]

Цитата Candyman:

Так WIN-CBDILLR25RB - это и есть сам сервер (обозвали его так, не виноват он). Сканирование на вирусы положительного результата не выявило. »

Значит какая-то "лигитимная" софтина пытается это сделать, смотрите что у Вас установлено, проверяйте автозагрузку приложений и драйверов, планировщик задач. В общем autoruns Вам из набора SysInternals в помощь. Так же, не лишним будет анализ через AVZ (именно анализ).

[mwz]

Candyman, попробуйте спросить в разделе http://forum.oszone.net/forum-87.html — выполнив требования http://forum.oszone.net/thread-98169.html

[Candyman]

Анализ на вирусы результатов так и не дал.
Решение не найдено.
Тему закрываю...