Был ли взлом ?

[Rom]

Добрый день ! Нахожу в журнале следующие записи оставленные в 4 утра:

[E] Sep  8 04:17:02 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:08 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep  8 04:17:09 ndm: Core::Authenticator: no such user: "Admin".
[E] Sep  8 04:17:09 ndm: Core::Authenticator: no such user: "Admin".
[E] Sep  8 04:17:09 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:09 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:09 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep  8 04:17:10 ndm: Core::Syslog: last message repeated 9 times.
[E] Sep  8 04:17:10 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:18 ndm: Core::Syslog: last message repeated 7 times.
[E] Sep  8 04:17:20 ndm: Core::Authenticator: no such user: "airlive".
[E] Sep  8 04:17:20 ndm: Core::Authenticator: no such user: "airlive".
[E] Sep  8 04:17:20 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:21 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:22 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:22 ndm: Core::Syslog: last message repeated 3 times.
[E] Sep  8 04:17:22 ndm: Core::Authenticator: no such user: "support".
[E] Sep  8 04:17:22 ndm: Core::Syslog: last message repeated 3 times.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "support".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "support".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "ubnt".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "ubnt".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "super".
[E] Sep  8 04:17:23 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "adsl".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "adsl".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "user1!2@3#4$".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "user1!2@3#4$".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:24 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:26 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:26 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "d6nw5v1x2pc7st9m".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "d6nw5v1x2pc7st9m".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "expert".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "expert".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:27 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:28 ndm: Core::Authenticator: no such user: "super".
[E] Sep  8 04:17:28 ndm: Core::Authenticator: no such user: "super".
[E] Sep  8 04:17:28 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:30 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "mts".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "mts".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "telecomadmin".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "telecomadmin".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "mgts".
[E] Sep  8 04:17:31 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep  8 04:17:31 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:32 ndm: Core::Authenticator: user "admin": invalid password.

Вопрос: был ли подобран все-таки пароль или нет, если данные о любом успешном входе в журнале никак не отображаются ?

И кто именно все-таки долбился в устройство в смысле с какого адреса была попытка ?

Вопрос уже поднимался несколько лет назад:

 

 

 

 

[Mamay]

21 минуту назад, Rom сказал:

Вопрос: был ли подобран все-таки пароль или нет, если данные о любом успешном входе в журнале никак не отображаются ?

И кто именно все-таки долбился в устройство в смысле с какого адреса была попытка ?

До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии"

[Rom]

Все равно не пойму как можно ломиться в устройство и, судя по тому что в журнале есть записи о наличии или отсутствии какого-то пользователя и неправильного его пароля все проходит очень успешно, но в то же время доступ к CLI снаружи закрыт и никогда не открывался ? Я не работал с CLI никогда.

 

[Rom]

1 minute ago, Mamay said:

До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии"

Инвалиды до последней записи списка, а дальше настает неизвестность

[Mamay]

1 час назад, Rom сказал:

Инвалиды до последней записи списка, а дальше настает неизвестность

Дык в приведённой вами же теме, разработчик уже писал ip http log auth

[Rom]

56 minutes ago, Mamay said:

До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии"

Кстати, ip http lockout-policy это все хорошо, но интересует это ботнет из Китая или все-таки злой юзер из местной интрасети, что есть две большие разницы, "Имя, сестра, имя ?". Захватить адрес входящего и записать его в лог не есть мега-проблема, зато существенно успокоило бы владельцев любых устройств в том, что каждый раз в систему входит именно он, а не кому кто угодно

[Rom]

2 minutes ago, Mamay said:

Дык в приведённой вами же теме, разработчик уже писал ip http log auth

Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена."

Интересует больше всего в данный момент удачная авторизация.

[vasek00]

2 часа назад, Rom сказал:

Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена."

Интересует больше всего в данный момент удачная авторизация.

Сен 8 17:07:33 ndm Core::Authenticator: user "wxxxxx" authenticated, realm "Keenetic Giga", tag "cli".

Ок пароль

Сен 8 17:08:39 ndm Core::Authenticator: user "wxxxxx": invalid password.

Не Ок пароль


user wxxxxx
    password md5 ***
    password nt ***
    tag cli
    tag http
    tag readonly
    



или 

Сен 8 17:12:37 ndm Core::Authenticator: access to "cli" denied for user "wxxxxx".

при правильном пароле

user wxxxxx
    password md5 ***
    password nt ***
    tag http
    tag readonly
    

 

Edited September 8, 2020 by vasek00

[keenet07]

Голосовать сюда.

Чтоб когда-нибудь появилась настраиваемая страница с отчетами по подобным событиям роутера.

[Mikesk]

3 часа назад, Rom сказал:

Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена."

Интересует больше всего в данный момент удачная авторизация.

у вас через cli долбятся, а включаете вы логирование http (к слову, и там и там есть сообщения об успешной и неуспешной авторизации - попробуйте авторизоваться и посмотрите в лог).

[Rom]

4 minutes ago, Mikesk said:

у вас через cli долбятся, а включаете вы логирование http (к слову, и там и там есть сообщения об успешной и неуспешной авторизации - попробуйте авторизоваться и посмотрите в лог).

Долбятся в хттпс, сообщений по умолчанию в логах не было появились после  ip http log auth хотя в описании команды этого нет. В сообщении id сессии, что это даёт ? 

Core::Scgi::Auth: opened session QHNTLUBKTYCQBUCG for user admin.

[Mikesk]

17 минут назад, Rom сказал:

Долбятся в хттпс, сообщений по умолчанию в логах не было появились после  ip http log auth хотя в описании команды этого нет. В сообщении id сессии, что это даёт ? 

Core::Scgi::Auth: opened session QHNTLUBKTYCQBUCG for user admin.

[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".

 

Долбятся в CLI. Возможно, не только (но в первом сообщении в CLI). А что вам даст например знание IP ? Смените стандартные порты и будет вам счастье.

Edited September 8, 2020 by Mikesk

[Rom]

17 minutes ago, Mikesk said:

[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".

 

Долбятся в CLI. Возможно, не только (но в первом сообщении в CLI). А что вам даст например знание IP ? Смените стандартные порты и будет вам счастье.

Ip может быть совершенно определенного клиента в обьединенной сети не только интернет, дальше читая лог желательно понимать кто входит в твое устройство ты или нет это опять же понятно по ip.