forum.opennet.ru - "Меня похачили?" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Меня похачили?"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Меня похачили?"	+/–
Сообщение от fa (??) on 20-Фев-13, 12:52
Пытаюсь зайти на роутер, но вместо приглашения ввести логин - ошибка: Password required but none set После нескольких попыток все таки появляется приглашение ввести логин и пароль. Захожу на роутер: #show users Line User Host(s) Idle Location 2 vty 0 idle 00:00:00 182.73.215.26 3 vty 1 root idle 00:00:04 211.245.106.22 * 4 vty 2 sysadmin idle 00:00:00 192.168.110.12 6 vty 4 ahashem idle 00:00:04 182.73.215.26 7 vty 5 idle 00:00:02 211.245.106.22 В роутере только один username - sysadmin, под которым я зашел с 192.168.110.12. Кто все эти остальные (root, ahashem)? Это попытки подбора пароля, или эти пользователи действительно зашли в систему?
Ответить \| Правка \| Cообщить модератору

Оглавление

Меня похачили?, wireless digger, 13:05 , 20-Фев-13, (1)

Меня похачили?, fa, 13:27 , 20-Фев-13, (2)

Меня похачили?, VolanD, 13:52 , 20-Фев-13, (3)

Меня похачили?, fa, 19:33 , 20-Фев-13, (5)

Меня похачили?, McS555, 12:14 , 21-Фев-13, (6)

Меня похачили?, wireless digger, 16:46 , 20-Фев-13, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Меня похачили?" +/–

Сообщение от wireless digger on 20-Фев-13, 13:05

>[оверквотинг удален]
>    6 vty 4     ahashem
>   idle
>         00:00:04 182.73.215.26
>    7 vty 5
>          idle
>
>     00:00:02 211.245.106.22
> В роутере только один username - sysadmin, под которым я зашел с
> 192.168.110.12. Кто все эти остальные (root, ahashem)? Это попытки подбора пароля,
> или эти пользователи действительно зашли в систему?
Сделай clear всем лишним vty. И поставь ACL на line vty 0- что бы в дальнейшем они не подключались

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Меня похачили?" +/–

Сообщение от fa (??) on 20-Фев-13, 13:27

> Сделай clear всем лишним vty. И поставь ACL на line vty 0-
> что бы в дальнейшем они не подключались
Как увидел, сразу поставил acl.
И все-таки, эти пользователи зашли в систему? Если да, то откуда они взялись (в конфиге их нет)?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Меня похачили?" +/–

Сообщение от VolanD (ok) on 20-Фев-13, 13:52

>> Сделай clear всем лишним vty. И поставь ACL на line vty 0-
>> что бы в дальнейшем они не подключались
> Как увидел, сразу поставил acl.
> И все-таки, эти пользователи зашли в систему? Если да, то откуда они
> взялись (в конфиге их нет)?
Конфиг бы посмотреть

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Меня похачили?" +/–

Сообщение от fa (??) on 20-Фев-13, 19:33

> Конфиг бы посмотреть
Он длиннющий. Скажите, какие конкретно части закопипастить. Вот все, что мне показалось относящимся к делу.
enable secret 5 blahblah
.....
no aaa new-model
.....
username sysadmin password 7 blah
.....
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
login local
line vty 5 15
login
Так было. Сейчас добавил еще acl на вход
line vty 0 4
access-class 20 in

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Меня похачили?" +/–

Сообщение от McS555 (ok) on 21-Фев-13, 12:14

>> Сделай clear всем лишним vty. И поставь ACL на line vty 0-
>> что бы в дальнейшем они не подключались
> Как увидел, сразу поставил acl.
> И все-таки, эти пользователи зашли в систему? Если да, то откуда они
> взялись (в конфиге их нет)?
Можешь же сам проверить!
Открываешь одну консоль. Заходишь под настоящим именем.
Смотришь show users
Line       User       Host(s)              Idle       Location
*  2 vty 0     sysadmin     idle                 00:00:00 192.168.110.12
Потом с другой консольки. Пишешь имя sdlkgfjhs; . Без пароля!
И смотришь
Line       User       Host(s)              Idle       Location
*  2 vty 0     sysadmin     idle                 00:00:00 192.168.110.12
   3 vty 1     sdlkgfjhs;   idle                 00:00:04 192.168.110.12
Короче. Просто сканируют сеть и видят, что у тебя есть открытые порты (22, 23). И бот начинает планомерно в течении 10 лет подбирать пароль :)
1. Поставить acl на вход. Правда уменьшает мобильность ( то есть сам не всегда сможешь попасть на маршрутер )
2. Либо :
Поставить более "сильный" пароль. Логин тоже сменить (никаких root admin sysadmin cisco)
+ пропиши
login block-for 60 attempts 3 within 30
login delay 5
login on-failure log
login on-success log

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Меня похачили?" +/–

Сообщение от wireless digger on 20-Фев-13, 16:46

вот вроде как твой вариант один в один
http://certification.ru/cgi-bin/forum.cgi?action=thread&id=4...
и свежак. может это массовое явление

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Меня похачили?"	+/–
Сообщение от wireless digger on 20-Фев-13, 13:05
>[оверквотинг удален] > 6 vty 4 ahashem > idle > 00:00:04 182.73.215.26 > 7 vty 5 > idle > > 00:00:02 211.245.106.22 > В роутере только один username - sysadmin, под которым я зашел с > 192.168.110.12. Кто все эти остальные (root, ahashem)? Это попытки подбора пароля, > или эти пользователи действительно зашли в систему? Сделай clear всем лишним vty. И поставь ACL на line vty 0- что бы в дальнейшем они не подключались
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Меня похачили?"	+/–
	Сообщение от fa (??) on 20-Фев-13, 13:27
	> Сделай clear всем лишним vty. И поставь ACL на line vty 0- > что бы в дальнейшем они не подключались Как увидел, сразу поставил acl. И все-таки, эти пользователи зашли в систему? Если да, то откуда они взялись (в конфиге их нет)?
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Меня похачили?"	+/–
	Сообщение от VolanD (ok) on 20-Фев-13, 13:52
	>> Сделай clear всем лишним vty. И поставь ACL на line vty 0- >> что бы в дальнейшем они не подключались > Как увидел, сразу поставил acl. > И все-таки, эти пользователи зашли в систему? Если да, то откуда они > взялись (в конфиге их нет)? Конфиг бы посмотреть
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	5. "Меня похачили?"	+/–
	Сообщение от fa (??) on 20-Фев-13, 19:33
	> Конфиг бы посмотреть Он длиннющий. Скажите, какие конкретно части закопипастить. Вот все, что мне показалось относящимся к делу. enable secret 5 blahblah ..... no aaa new-model ..... username sysadmin password 7 blah ..... line con 0 stopbits 1 line aux 0 stopbits 1 line vty 0 4 login local line vty 5 15 login Так было. Сейчас добавил еще acl на вход line vty 0 4 access-class 20 in
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	6. "Меня похачили?"	+/–
	Сообщение от McS555 (ok) on 21-Фев-13, 12:14
	>> Сделай clear всем лишним vty. И поставь ACL на line vty 0- >> что бы в дальнейшем они не подключались > Как увидел, сразу поставил acl. > И все-таки, эти пользователи зашли в систему? Если да, то откуда они > взялись (в конфиге их нет)? Можешь же сам проверить! Открываешь одну консоль. Заходишь под настоящим именем. Смотришь show users Line User Host(s) Idle Location * 2 vty 0 sysadmin idle 00:00:00 192.168.110.12 Потом с другой консольки. Пишешь имя sdlkgfjhs; . Без пароля! И смотришь Line User Host(s) Idle Location * 2 vty 0 sysadmin idle 00:00:00 192.168.110.12 3 vty 1 sdlkgfjhs; idle 00:00:04 192.168.110.12 Короче. Просто сканируют сеть и видят, что у тебя есть открытые порты (22, 23). И бот начинает планомерно в течении 10 лет подбирать пароль :) 1. Поставить acl на вход. Правда уменьшает мобильность ( то есть сам не всегда сможешь попасть на маршрутер ) 2. Либо : Поставить более "сильный" пароль. Логин тоже сменить (никаких root admin sysadmin cisco) + пропиши login block-for 60 attempts 3 within 30 login delay 5 login on-failure log login on-success log
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору

4. "Меня похачили?"	+/–
Сообщение от wireless digger on 20-Фев-13, 16:46
вот вроде как твой вариант один в один http://certification.ru/cgi-bin/forum.cgi?action=thread&id=4... и свежак. может это массовое явление
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору