Impostazione: 11 workstation Windows7, Windows 2008 SBS SP2, router Cisco
Ieri ho eseguito l'RDP alla mia sessione di amministrazione di lunga durata in Windows SBS 2008 per trovare questo avviso di sicurezza in attesa:
Cliccandosu"Visualizza certificato" rivela questo:
Eidettagliattuali:
Anchesecisonoriferimentiminimionline,investigaresulDNSdelsitorivelacheprobabilmenteèlegittimo.
Lamiapreoccupazioneprincipaleèilmotivopercuiricevoquestoavvisodal:
- Nessunohaeffettuatol'accessoalserverdall'ultimavoltachehoeseguito(16/01)(inbasea
TerminalServices-Gateway
log-anchesoloscopertoTerminalServices-RemoteConnectionManager
èperqualchemotivodisabilitato) - Sonol'unicocheutilizzaquell'account
- IEnonerainesecuzioneelacronologiadinavigazioneeraesattamentecomel'avevolasciatamoltigiornifa
- Nonriescoapensareanessunonellamiaorganizzazionecheaccedaaquelsitowebspecifico
Equelloovvio:ilnostroserverèstatocompromesso?
Unaltrocontesto:
QuestaèlasecondavoltachevienevisualizzataunafinestradidialogodiavvisodelcertificatoorfanodurantelaconnessioneallamiasessioneRDP(ilserverèstatoriavviatodaallora).Laprimavolta,èstatoperilsito"sydneythomas.com" (un po '"gioielleria" a ottobre 2016, ora dominio parcheggiato). L'ho segnalato alla società responsabile per il supporto IT, e il loro verdetto è stato che "qualcuno ha usato sidneythomas.com per testare qualcosa" che è semplicemente ridicolo e completamente fuori dal contesto.
Aggiornamento:
A un esame più attento mi sono reso conto che la fonte dell'avviso è Servizio di aggiornamento Java (ProcessExplorer
diceC:\ProgramFiles(x86)\CommonFiles\Java\JavaUpdate\jusched.exe
).Hotrovatoanchequestojusched.exe
con virustotal
dice che è pulito e non riesco a vedere nulla fuori dall'ordinario con questo file.