Vi butto lì questa cosa che è appena successa.. nei PC di un dominio AD ho attiva la policy di restrizione software che impedisce l'esecuzione di eseguibili da percorsi non autorizzati (modalità white-list insomma). Poi ogni giorno allo shutdown dei PC vengono salvati su server gli errori di windows "interessanti", tra i quali questi, in modo da poter prevenire eventuali problemi.
In pratica oggi trovo il tentativo di esecuzione di tre file: C:\DOCUME~1\******\IMPOST~1\Temp\aptcpu.exe C:\DOCUME~1\******\IMPOST~1\Temp\urepair.exe C:\DOCUME~1\******\IMPOST~1\Temp\repfiex.exe Tutti e tre con la stessa data/ora, il primo è lungo 1KB ma si tratta in realtà di un file di testo con questo contenuto: <html> <head><title>502 Bad Gateway</title></head> <body bgcolor="white"> <center><h1>502 Bad Gateway</h1></center> <hr><center>nginx/1.6.2</center> </body> </html> Gli altri hanno lunghezza zero. Non posso per ora sentire cosa faceva l'utente né ho molte speranze che possa essere di aiuto. Idee? -- Ciao, P. ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
