судя по всему, файлик искал на компьютере Адоб Акробат и передавал ему некий кусок в качестве параметров запуска, дальше не копал, было некогда, но где-то на работе есть этот doc файл, могу прислать
У нас юзверь поймал похожий, только там не Химера, а какой-то другой. Попался к юзеру через почту, а точнее в отдел кадров прислали резюме. В документе было краткое содержание, а ниже была кнопочка «Посмотреть в PDF». Вот тетенька и посмотрела. Nod32 работает и обновляется. Ничего… Сканировал doc файл всеми антивирусами, и на Virustotal, результатов нет. Однако открыл документ в архиваторе, нашел там этот самый файлик, который запускался при нажатии кнопки «Открыть в PDF». Файл был с расширением .bin.
Случай возник в дочерней конторе, где еще не было контроллера домена с нужными политиками. У нас уже давно политики работают. Политики вот такие: запрет на запуск всех исполняемых файлов отовсюду, кроме Program Files и Windows.
плюс ко всему имейте в виду, что HTTPS блочится по server_name, и раз Вы заблокировали my.mail.ru, то заблокируется и ICQ, так как это одна контора с одними и теми же IP. Это Вам на будущее, когда поставите версию 3.5.8. С версией >3.5.8 у вас периодически будет падать Интернет, будет помогать перезапуск прокси, но ненадолго. К тому же, почему у Вас нет перенаправления на 80 порт Squid'а? Насколько мне известно, это будет негативно сказываться на работе
ставьте версию 3.5.8, уже обсуждалось и в моем блоге, и тут. Даже в статье есть запись в конце. Причина в каком-то баге, который добавили в версиях >3.5.8. Версии >=4 не тестировались
Статья понравилась, искал что-то подобное. Правда мне нужно немного для другого. В конторе конструкторы работают с чертежами, и им надо как раз имена чертежей со спец.символами
Нет, я пекарь. Я, действительно, не понимаю ход Ваших мыслей.
Мне ничто оне мешает пару раз в неделю открыть статистику и посмотреть https сайты, которые посещали сотрудники, и нажать напротив нужных «Добавить в блок-лист». Занимает 10-15 минут. Или Вы думаете, что https веб-прокси настолько много. что их нельзя добавить в блок-лист? Вы ОШИБАЕТЕСЬ, и Вы действительно теоретически рассуждаете. И Вы так и не ответили на вопрос: Вы читали статью?
я все равно не понимаю, о чем Вы говорите. Squid нормально отлавливает ваши https веб прокси, и нормально их блокирует, к чему Вы ведете разговор? Статья о том, как такие сайты отслеживать и блокировать
Согласен. Когда у нас закупили лицензии на Win8, решил сразу же отстроить GPO так, чтобы не запускать js, bat, и запускать программы только из Windows и Program Files. Ессно правила разнятся для многих людей, кому-то нужны bat'ники, они в отдельной группе. В общем после таких вот правил резко увеличилась стабильность всего парка ПК в целом, а это порядка 400 ПК по всем филиалам. Ну и про шифровальщики забыли. Антивирусы стоят, но они максимум отлавливают бяку на флешках
Прочитал статью. В принципе согласен с автором во многом. Мне пришлось принять меры в домене, а точнее запретить запуск любых программ с любых мест, кроме как из Windows и Program Files, плюс у всех ограниченные учетки. А то пользователи любили Tor настолько, что откуда только его не качали и куда только его не спихивали. От Tor'a только так и избавились
происходит все вот так, говоря простыми словами: клиент запрашивает https ресурс, Кальмар представляется браузером, подключается к ресурсу, вытаскивает SNI-info и далее на основании правил и данных SNI происходит блокировка. Если же блокировать ресурс не нужно, Кальмар передает соединение клиенту без подмены сертификата
мало того, что в прозрачном режиме! используется новая технология peek-and-splice, которая позволяет бампить ssl без подмены сертификатов, т.е. без MITM атаки
контроллера домена там не было, так что GPO сразу отпадало, а так да. Вроде бы Гугл ругается на MITM, даже при условии, что root ca импортирован в хранилище
Случай возник в дочерней конторе, где еще не было контроллера домена с нужными политиками. У нас уже давно политики работают. Политики вот такие: запрет на запуск всех исполняемых файлов отовсюду, кроме Program Files и Windows.
Мне ничто оне мешает пару раз в неделю открыть статистику и посмотреть https сайты, которые посещали сотрудники, и нажать напротив нужных «Добавить в блок-лист». Занимает 10-15 минут. Или Вы думаете, что https веб-прокси настолько много. что их нельзя добавить в блок-лист? Вы ОШИБАЕТЕСЬ, и Вы действительно теоретически рассуждаете. И Вы так и не ответили на вопрос: Вы читали статью?