Вариантов очень много, не обязательно что rdp кто-то брутил. У win server 2008r2 уязвимостей с рискскоре 10 дофига. Это если говорить про атаку «в лоб». Могли заходить через комп одного из сотрудников, вы ведь не мониторите безопасность их рабочих машин. Или открытие зловреда на сервере.
Что касается отсутствие админ прав, так тот же CVE-2011-1249 (MS11-046) повышает привилегии пользователя до админа. Экплоит паблик с 2016 года. И это далеко не единственный вариант. Скрытые учётки на этой ОС так же создаются даже некоторым паблик ПО (используется набор эксплоитов) сразу с админ правами.

Если есть что потерять, то заказывайте аудит, выясняйте. Консультации по форумам это гадание на кофейной гуще.

Проверьте открытые шары SMBv1 - скорее всего вас взломали пилюлей CVE-2017-0144
Проверяется легко за счет журнала аудита Windows.

Шар нет вообще, апплокер включен - запуск только разрешенных приложений....

Вам Филмор верно сказал. Без толкового аудита вариантов овердохрена. Если хотите сами разобраться, найдите в паблике толковый мануал по проведению аудита винсерверов и вперед по нему ни чего не пропуская.

rundll32.exe, cmstp.exe, mshta.exe разрешены?

AppLocker не панацея - https://github.com/api0cradle/Ultima...ckerByPassList