J'ai posté ceci sur Google hier, mais je pense que cela mérite plus de visibilité. Si ce que je pense pourrait avoir eu lieu, effectivement, Chrome peut ne pas être sécurisé :
Quelque chose de bizarre s'est passé hier matin et j'essaie de me mettre la tête.
J'ai un serveur Windows 2012 hébergeant des machines virtuelles, mais hier, je voulais juste effectuer une recherche rapide sur les types de mortier et je ne me suis pas connecté à une machine virtuelle. Symantec est installé (12.1.5 - Oui, je sais qu'il est vieux) et seulement visitez les sites Green Wot. J'ai ouvert quelques-uns des résultats de la recherche dans les onglets et commençons à les parcourir. Alors, tout à coup, =Chrome Démarrage de pages de départ et j'avais un message que Chrome téléchargait et installe quelque chose. Puis j'ai remarqué que c'était connecté Un compte Google. C'était le compte de mon assistant de mon chef d'immobilier (j'habite dans un condo). J'ai utilisé le responsable de la tâche pour tuer chrome immédiatement et tout s'est arrêté. J'ai Chrome 59.0.3071.115 sur mon serveur, mais il semble que cela vient de télécharger une mise à jour.
Je ne pouvais pas comprendre la manière dont l'assistant du gestionnaire de propriétés aurait pu être connecté à mon serveur, puis pourquoi il se connecterait à Chrome. J'ai vérifié et Symantec était en cours d'exécution. J'ai vérifié mon routeur de pare-feu et le RDP était toujours désactivé sur le serveur, plus c'était la console d'administration et pourquoi un pirate informatique ferait-il quelque chose de tellement évident? Je verrouille toujours mon écran (vieille habitude) lorsque je quitte mon bureau, même si seulement ma femme et moi vivons ici - et l'un de nous est presque toujours à la maison. [Plus la session se verrouille après un délai d'attente de 15 minutes.] Il n'ya aucun moyen d'avoir un accès physique à moins d'avoir pris la clé de maîtrise et est entré pendant que nous étions endormis, mais cela aurait été vraiment stupéfait. [Et il serait presque impossible pour quelqu'un d'autre de connaître mon mot de passe.] Même pour que cela vous connecte à Google?
J'ai téléchargé Malwarebytes et dirigé une analyse sur mon lecteur C avec elle et avec Symantec. Les deux n'ont trouvé que quelques biscuits de suivi.
J'ai également vérifié mes principaux ports de service à l'aide de GRC.com et tout est en mode furtif. J'ai confirmé avec l'observateur d'événements qu'aucune séance de RDP n'était en cours d'exécution (la dernière était il y a des mois).
La seule chose à laquelle je puisse penser, c'est que l'un des sites que j'ai cliqué sur le code RAN qui s'est automatiquement connecté à Chrome à l'aide du compte assistant du gestionnaire de propriétés. Pourquoi? Depuis que nous sommes tous les deux dans le même bâtiment, Notre IPS serait dans une gamme IP similaire. L'ordinateur de l'assistant est peut-être en train d'être piraté régulièrement et qu'ils essayaient de revenir. Avant de tuer Chrome, j'ai culminé aux paramètres du compte d'utilisateur et que le mot de passe de l'assistant n'avait pas été modifié depuis janvier. cette année.
Je ne pense pas que l'assistant soit suffisamment avisé d'informatique d'être derrière cela. Très probablement est qu'il a un mot de passe simple et il a été simplement piraté. Je ne sais pas ce que l'accès à son compte fournirait, mais j'imagine qu'un programme distant pourrait instruire de télécharger des fichiers. Si tel est le cas, ils pourraient avoir les mots de passe pour tous les panneaux de sécurité du bâtiment.
Je n'ai pas utilisé mon compte Google depuis des années et je ne pense pas que je l'ai déjà utilisé sur mon serveur.
Quelqu'un peut-il s'il vous plaît confirmer s'il s'agit d'un scénario possible? Si ce n'est pas le cas, il semble que nous avions un envahisseur ici, et je vais appeler la police. Je vous informerai le bureau du gestionnaire lundi.
Non, je n'ai pas accès au compte. Cependant, si je clique sur "Se connecter", le compte apparaît comme la valeur par défaut, mais je ne connais pas le mot de passe. En outre, je suppose que c'est le compte du gestionnaire de biens. Je ne leur ai pas encore parlé, mais prévoyez à cet après-midi une fois que j'ai récupéré une réponse pour une réunion. Je devrais être capable de confirmer s'il s'agit de leur compte. Une fois qu'ils ont changé le mot de passe, je posterai plus d'informations.
Les seules extensions que j'ai sont:
Il y a une chance que quelqu'un ait la clé et entra dans l'unité. Cela semble vraiment improbable, mais n'est pas impossible. Je suis au tableau ici et il y a eu beaucoup de conflits. Quatre membres du conseil ont démissionné à la suite d'un conflit avec le président au cours de l'année dernière ou de deux. Je n'ai pas comme on m'a demandé d'autres personnes dans le bâtiment de rester. Le gestionnaire de propriétés était juste laissé aller. J'avais pleine confiance et confiance en elle. Un nouveau responsable immobilier commence à partir de ce matin et nous venons d'embaucher un nouveau surintendant adjoint. Ma première pensée a été essayée d'avoir des preuves ou de supprimer des preuves - l'un des membres du conseil en poursuit une autre. Mais je ne sais tout simplement pas.
Si c'est possible Chrome est "piraté" comme décrit, il semble que le scénario le plus probable me soit le plus probable. C'est l'un ou l'autre.
Je suis assez certain que les pages à retournement, les téléchargements et l'installation que vous avez vu ont été le résultat du fichier Chrome étant celui d'un utilisateur qui avait authentifié à Google et a sélectionné pour tout synchroniser tout ou au moins leurs extensions. http://prntscr.com/maqyg
Pourquoi? Probablement parce qu'ils souhaitaient avoir accès à Google Drive pour pouvoir stocker tous les fichiers qu'ils tentaient de récupérer de votre serveur. Semble assez ignorant de ne pas s'en sortir, mais qui sait.
Ces "pages à retourner" n'étaient-ils pas un tas d'onglets qui s'ouvrent? De nombreuses extensions, lors de l'installation, ouvrent un nouvel onglet avec des informations sur l'extension.
Je serais très intéressé par votre examen après l'action à ce sujet s'il s'agissait d'une autre chose qu'un cas d'un voleur de données inepte qui avait un accès physique à votre serveur alors qu'il était déverrouillé.