Просто прихожу вчера на работу, включаю журнал безопасности, а там мне говорят, что кто-то рылся в системе в пять утра. Куча изменений в Active Directory. Я все восстановил, сменил пароли все, настроил файрвол, а толку? На следующий день опять.
Причем, ip был явно не нашим. Да и нельзя сервер от интернета отделить.