web-dev-qa-db-ja.com

Chrome Googleアカウントを使用した私のコンピュータのリモートハッキング

私は昨日これをGoogleに投稿しましたが、より多くの可視性に値すると思います。私が起こったと思われることが実際に起こったとしたら、Chrome安全ではない可能性があります:

昨日の朝、何か奇妙なことが起こったので、頭を抱えようとしています。

私は仮想マシンをホストしているWindows 2012 Serverを持っていますが、昨日はモルタルの種類を簡単に検索したくて、VMにログインしませんでした。 Symantecがインストールされ(12.1.5-はい、古いことを知っています)、緑のWOTサイトにのみアクセスします。私はいくつかの検索結果をタブで開き、それらを調べ始めました。その後、突然、Chromeページのめくりが始まり、Chromeが何かをダウンロードしてインストールしているというメッセージが表示されました。その後、ログインしていることに気付きました。 Googleアカウント。これは、私のプロパティマネージャーのアシスタント(私はコンドミニアムに住んでいます)のアカウントでした。タスクマネージャーを使用してchromeをすぐに終了すると、すべて停止しました。Chrome 59.0.3071.115がありますが、アップデートをダウンロードしたようです。

プロパティマネージャーのアシスタントが私のサーバーにログオンする方法を理解できず、なぜ彼がChromeにログインするのか理解できませんでした。私が確認したところ、シマンテックは稼働していた。ファイアウォールルーターを確認しましたが、サーバーでRDPがまだ無効になっています。さらに、これは管理コンソールであり、なぜハッカーがそれほど明白なことをするのですか私は妻と私だけがここに住んでいるにもかかわらず、デスクを離れるときは常に画面をロックします(古い習慣)。私たちの1人はほとんどいつも家にいます。 [さらに、15分のタイムアウト後にセッションがロックされます。]マスターキーを取得して私たちが眠っている間に入ってこない限り、誰もが物理的にアクセスすることはできませんが、それは本当に馬鹿げたことでしょう。 [そして、誰も私のパスワードを知ることはほとんど不可能です。]それでも、なぜGoogleにログインするのですか?

MalwareBytesをダウンロードし、CドライブでSymantecを使用してスキャンを実行しました。どちらも数個のトラッキングCookieしか見つかりませんでした。

また、grc.comを使用してメインサービスポートをチェックしましたが、すべてステルスモードになっています。 RDPセッションが実行されていないことをイベントビューアで確認しました(最後のセッションは数か月前でした)。

私が思いつく唯一のことは、クリックしたサイトの1つが、プロパティマネージャーのアシスタントアカウントを使用してChromeに自動的にログインするコードを実行したことです。なぜですか?両方が同じ建物内にあるため、両方のIPが同じようなIP範囲になります。おそらく、アシスタントのコンピューターが定期的にハッキングされ、元に戻ろうとしていました。Chromeを強制終了する前に、ユーザーアカウントの設定にピークを置き、1月以降、アシスタントのパスワードが変更されていませんでした。今年。

私は、アシスタントがコンピュータに精通していて、このいずれにも対応できるとは思いません。ほとんどの場合、彼は単純なパスワードを持っており、それは単にハッキングされただけです。彼のアカウントにアクセスできることで何が得られるのかはわかりませんが、リモートプログラムがファイルをアップロードするように指示できると思います。もしそうなら、彼らは建物内のすべてのセキュリティパネルのパスワードを持っている可能性があります。

私はGoogleアカウントを何年も使用していないため、サーバーで使用したことはないと思います。

これが可能性のあるシナリオであるかどうか誰かが確認できますか?そうでない場合は、ここに侵入者がいたようで、警察に電話します。月曜日にマネージャーのオフィスに通知します。

いいえ、アカウントにアクセスできません。しかし、「サインイン」をクリックすると、デフォルトでアカウントが表示されますが、パスワードがわかりません。また、私はそれがプロパティマネージャーのアカウントであると想定しています。私はまだ彼らと話をしていませんが、会議の返事が返ってきたら今日の午後に予定しています。それが彼らのアカウントであるかどうかを確認できるはずです。彼らがパスワードを変更したら、詳細を投稿します。

私が持っている唯一の拡張は:

  • Adobe Acrobatの
  • Googleドキュメント
  • Googleドキュメントオフライン
  • Googleスプレッドシート
  • WOT:Web of Trust、ウェブサイトの評判。

誰かが鍵を入手してユニットに入った可能性があります。それは本当にありそうにないようですが、不可能ではありません。私はここで理事会に参加しており、多くの対立がありました。過去1、2年の間に大統領との対立の結果、4人の理事が辞任した。建物内にいる他の人に残されるように勧められたので、私はそうではありません。プロパティマネージャーは手放されました。私は彼女に完全な信頼と信頼を持っていました。今朝から新しいプロパティマネージャーが始まり、新しいアシスタントの管理者を雇ったところです。私が最初に思ったのは、彼らが証拠を入手したり証拠を削除したりすることでした-理事会メンバーの1人が別のメンバーを訴えています。しかし、私は知りません。

可能な場合Chromeは説明どおり「ハッキング可能」である場合、それは私にとって最も可能性の高いシナリオのようです。そのいずれかです。

malwareexploitgooglechromeaccount-security
3
BobH2

表示されたページ、ダウンロード、インストールのめくりがChromeプロファイルがGoogleに認証され、すべての同期または少なくともその拡張機能 http://prntscr.com/maqyg

どうして?おそらく、サーバーから取得しようとしたすべてのファイルを保存できるようにGoogleドライブにアクセスしたかったからです。サインアウトしないことはかなり無知のようですが、誰が知っていますか。

それらの「ページをめくる」、それらは開いているタブの束ではなかったのですか?多くの拡張機能は、インストール時に、拡張機能に関する情報を含む新しいタブを開きます。

ロックが解除されている間にサーバーに物理的にアクセスできたデータ窃盗の不法行為以外の場合は、これについてのアクション後のレビューに興味があります。

1
tamalellama

Chromeリモートデスクトップアプリ を使用して、自分のコンピュータから自分のコンピュータにブリッジすることができます。このChromeアプリは、技術者でない人でも簡単に使用できるように設計されています。

インストールされているかどうかを確認するには、chrome://extensions/にアクセスしてChrome Appsセクション)を確認します。インストールされている場合は、削除するか、実行してリモートアクセスを無効にします。 。

それが動作する必要があるのは、ファイアウォールが開いているだけです:

  • アウトバウンドUDPトラフィック
  • インバウンドUDP応答
  • TCPポート443(HTTPS)および5222(XMPP)のトラフィック
0
HTTP 410