Jump to content
  • 1

Был ли взлом ?


Rom
 Share

Question

Добрый день ! Нахожу в журнале следующие записи оставленные в 4 утра:

[E] Sep  8 04:17:02 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:08 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep  8 04:17:09 ndm: Core::Authenticator: no such user: "Admin".
[E] Sep  8 04:17:09 ndm: Core::Authenticator: no such user: "Admin".
[E] Sep  8 04:17:09 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:09 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:09 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep  8 04:17:10 ndm: Core::Syslog: last message repeated 9 times.
[E] Sep  8 04:17:10 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:18 ndm: Core::Syslog: last message repeated 7 times.
[E] Sep  8 04:17:20 ndm: Core::Authenticator: no such user: "airlive".
[E] Sep  8 04:17:20 ndm: Core::Authenticator: no such user: "airlive".
[E] Sep  8 04:17:20 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:21 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:22 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:22 ndm: Core::Syslog: last message repeated 3 times.
[E] Sep  8 04:17:22 ndm: Core::Authenticator: no such user: "support".
[E] Sep  8 04:17:22 ndm: Core::Syslog: last message repeated 3 times.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "support".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "support".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "ubnt".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "ubnt".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "super".
[E] Sep  8 04:17:23 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "adsl".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "adsl".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "user1!2@3#4$".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "user1!2@3#4$".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:24 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:26 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:26 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "d6nw5v1x2pc7st9m".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "d6nw5v1x2pc7st9m".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "expert".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "expert".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:27 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:28 ndm: Core::Authenticator: no such user: "super".
[E] Sep  8 04:17:28 ndm: Core::Authenticator: no such user: "super".
[E] Sep  8 04:17:28 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:30 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "mts".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "mts".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "telecomadmin".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "telecomadmin".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "mgts".
[E] Sep  8 04:17:31 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep  8 04:17:31 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:32 ndm: Core::Authenticator: user "admin": invalid password.

Вопрос: был ли подобран все-таки пароль или нет, если данные о любом успешном входе в журнале никак не отображаются ?

И кто именно все-таки долбился в устройство в смысле с какого адреса была попытка ?

Вопрос уже поднимался несколько лет назад:

 

 

 

 

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

12 answers to this question

Recommended Posts

  • 1
21 минуту назад, Rom сказал:

Вопрос: был ли подобран все-таки пароль или нет, если данные о любом успешном входе в журнале никак не отображаются ?

И кто именно все-таки долбился в устройство в смысле с какого адреса была попытка ?

До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии"

Link to comment
Share on other sites

  • 1

Все равно не пойму как можно ломиться в устройство и, судя по тому что в журнале есть записи о наличии или отсутствии какого-то пользователя и неправильного его пароля все проходит очень успешно, но в то же время доступ к CLI снаружи закрыт и никогда не открывался ? Я не работал с CLI никогда.

2020-09-09_085732.jpg.7174668a1c1357415014c7d8d6dd5e25.jpg

 

  • Upvote 1
Link to comment
Share on other sites

  • 0
1 minute ago, Mamay said:

До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии"

Инвалиды до последней записи списка, а дальше настает неизвестность

Link to comment
Share on other sites

  • 0
1 час назад, Rom сказал:

Инвалиды до последней записи списка, а дальше настает неизвестность

Дык в приведённой вами же теме, разработчик уже писал ip http log auth

Link to comment
Share on other sites

  • 0
56 minutes ago, Mamay said:

До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии"

Кстати, ip http lockout-policy это все хорошо, но интересует это ботнет из Китая или все-таки злой юзер из местной интрасети, что есть две большие разницы, "Имя, сестра, имя ?". Захватить адрес входящего и записать его в лог не есть мега-проблема, зато существенно успокоило бы владельцев любых устройств в том, что каждый раз в систему входит именно он, а не кому кто угодно

Link to comment
Share on other sites

  • 0
2 minutes ago, Mamay said:

Дык в приведённой вами же теме, разработчик уже писал ip http log auth

Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена."

Интересует больше всего в данный момент удачная авторизация.

Link to comment
Share on other sites

  • 0
2 часа назад, Rom сказал:

Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена."

Интересует больше всего в данный момент удачная авторизация.

Сен 8 17:07:33 ndm Core::Authenticator: user "wxxxxx" authenticated, realm "Keenetic Giga", tag "cli".

Ок пароль

Сен 8 17:08:39 ndm Core::Authenticator: user "wxxxxx": invalid password.

Не Ок пароль


user wxxxxx
    password md5 ***
    password nt ***
    tag cli
    tag http
    tag readonly
    



или 

Сен 8 17:12:37 ndm Core::Authenticator: access to "cli" denied for user "wxxxxx".

при правильном пароле

user wxxxxx
    password md5 ***
    password nt ***
    tag http
    tag readonly
    

 

Edited by vasek00
Link to comment
Share on other sites

  • 0
3 часа назад, Rom сказал:

Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена."

Интересует больше всего в данный момент удачная авторизация.

у вас через cli долбятся, а включаете вы логирование http (к слову, и там и там есть сообщения об успешной и неуспешной авторизации - попробуйте авторизоваться и посмотрите в лог).

Link to comment
Share on other sites

  • 0
4 minutes ago, Mikesk said:

у вас через cli долбятся, а включаете вы логирование http (к слову, и там и там есть сообщения об успешной и неуспешной авторизации - попробуйте авторизоваться и посмотрите в лог).

Долбятся в хттпс, сообщений по умолчанию в логах не было появились после  ip http log auth хотя в описании команды этого нет. В сообщении id сессии, что это даёт ? 

Core::Scgi::Auth: opened session QHNTLUBKTYCQBUCG for user admin.

Link to comment
Share on other sites

  • 0
17 минут назад, Rom сказал:

Долбятся в хттпс, сообщений по умолчанию в логах не было появились после  ip http log auth хотя в описании команды этого нет. В сообщении id сессии, что это даёт ? 

Core::Scgi::Auth: opened session QHNTLUBKTYCQBUCG for user admin.

[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".

 

Долбятся в CLI. Возможно, не только (но в первом сообщении в CLI). А что вам даст например знание IP :)? Смените стандартные порты и будет вам счастье.

Edited by Mikesk
Link to comment
Share on other sites

  • 0
17 minutes ago, Mikesk said:

[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".

 

Долбятся в CLI. Возможно, не только (но в первом сообщении в CLI). А что вам даст например знание IP :)? Смените стандартные порты и будет вам счастье.

Ip может быть совершенно определенного клиента в обьединенной сети не только интернет, дальше читая лог желательно понимать кто входит в твое устройство ты или нет это опять же понятно по ip. 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...