Rom Posted September 8, 2020 Share Posted September 8, 2020 Добрый день ! Нахожу в журнале следующие записи оставленные в 4 утра: [E] Sep 8 04:17:02 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:08 ndm: Core::Syslog: last message repeated 5 times. [E] Sep 8 04:17:09 ndm: Core::Authenticator: no such user: "Admin". [E] Sep 8 04:17:09 ndm: Core::Authenticator: no such user: "Admin". [E] Sep 8 04:17:09 ndm: Core::Authenticator: missing a user name. [E] Sep 8 04:17:09 ndm: Core::Authenticator: missing a user name. [E] Sep 8 04:17:09 ndm: Core::Authenticator: access to "torrent" denied for user "root". [E] Sep 8 04:17:10 ndm: Core::Syslog: last message repeated 9 times. [E] Sep 8 04:17:10 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:18 ndm: Core::Syslog: last message repeated 7 times. [E] Sep 8 04:17:20 ndm: Core::Authenticator: no such user: "airlive". [E] Sep 8 04:17:20 ndm: Core::Authenticator: no such user: "airlive". [E] Sep 8 04:17:20 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:21 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:22 ndm: Core::Authenticator: missing a user name. [E] Sep 8 04:17:22 ndm: Core::Syslog: last message repeated 3 times. [E] Sep 8 04:17:22 ndm: Core::Authenticator: no such user: "support". [E] Sep 8 04:17:22 ndm: Core::Syslog: last message repeated 3 times. [E] Sep 8 04:17:23 ndm: Core::Authenticator: missing a user name. [E] Sep 8 04:17:23 ndm: Core::Authenticator: missing a user name. [E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "support". [E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "support". [E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "ubnt". [E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "ubnt". [E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "super". [E] Sep 8 04:17:23 ndm: Core::Syslog: last message repeated 5 times. [E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "adsl". [E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "adsl". [E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "user1!2@3#4$". [E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "user1!2@3#4$". [E] Sep 8 04:17:23 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:24 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:26 ndm: Core::Authenticator: access to "torrent" denied for user "root". [E] Sep 8 04:17:26 ndm: Core::Authenticator: access to "torrent" denied for user "root". [E] Sep 8 04:17:26 ndm: Core::Authenticator: missing a user name. [E] Sep 8 04:17:26 ndm: Core::Authenticator: missing a user name. [E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "d6nw5v1x2pc7st9m". [E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "d6nw5v1x2pc7st9m". [E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum". [E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum". [E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "expert". [E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "expert". [E] Sep 8 04:17:26 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:27 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:28 ndm: Core::Authenticator: no such user: "super". [E] Sep 8 04:17:28 ndm: Core::Authenticator: no such user: "super". [E] Sep 8 04:17:28 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:30 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:31 ndm: Core::Authenticator: no such user: "mts". [E] Sep 8 04:17:31 ndm: Core::Authenticator: no such user: "mts". [E] Sep 8 04:17:31 ndm: Core::Authenticator: no such user: "telecomadmin". [E] Sep 8 04:17:31 ndm: Core::Authenticator: no such user: "telecomadmin". [E] Sep 8 04:17:31 ndm: Core::Authenticator: no such user: "mgts". [E] Sep 8 04:17:31 ndm: Core::Syslog: last message repeated 5 times. [E] Sep 8 04:17:31 ndm: Core::Authenticator: user "admin": invalid password. [E] Sep 8 04:17:32 ndm: Core::Authenticator: user "admin": invalid password. Вопрос: был ли подобран все-таки пароль или нет, если данные о любом успешном входе в журнале никак не отображаются ? И кто именно все-таки долбился в устройство в смысле с какого адреса была попытка ? Вопрос уже поднимался несколько лет назад: 1 1 Quote Link to comment Share on other sites More sharing options...
1 Mamay Posted September 8, 2020 Share Posted September 8, 2020 21 минуту назад, Rom сказал: Вопрос: был ли подобран все-таки пароль или нет, если данные о любом успешном входе в журнале никак не отображаются ? И кто именно все-таки долбился в устройство в смысле с какого адреса была попытка ? До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии" Quote Link to comment Share on other sites More sharing options...
1 Rom Posted September 9, 2020 Author Share Posted September 9, 2020 Все равно не пойму как можно ломиться в устройство и, судя по тому что в журнале есть записи о наличии или отсутствии какого-то пользователя и неправильного его пароля все проходит очень успешно, но в то же время доступ к CLI снаружи закрыт и никогда не открывался ? Я не работал с CLI никогда. 1 Quote Link to comment Share on other sites More sharing options...
0 Rom Posted September 8, 2020 Author Share Posted September 8, 2020 1 minute ago, Mamay said: До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии" Инвалиды до последней записи списка, а дальше настает неизвестность Quote Link to comment Share on other sites More sharing options...
0 Mamay Posted September 8, 2020 Share Posted September 8, 2020 1 час назад, Rom сказал: Инвалиды до последней записи списка, а дальше настает неизвестность Дык в приведённой вами же теме, разработчик уже писал ip http log auth Quote Link to comment Share on other sites More sharing options...
0 Rom Posted September 8, 2020 Author Share Posted September 8, 2020 56 minutes ago, Mamay said: До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии" Кстати, ip http lockout-policy это все хорошо, но интересует это ботнет из Китая или все-таки злой юзер из местной интрасети, что есть две большие разницы, "Имя, сестра, имя ?". Захватить адрес входящего и записать его в лог не есть мега-проблема, зато существенно успокоило бы владельцев любых устройств в том, что каждый раз в систему входит именно он, а не кому кто угодно Quote Link to comment Share on other sites More sharing options...
0 Rom Posted September 8, 2020 Author Share Posted September 8, 2020 2 minutes ago, Mamay said: Дык в приведённой вами же теме, разработчик уже писал ip http log auth Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена." Интересует больше всего в данный момент удачная авторизация. Quote Link to comment Share on other sites More sharing options...
0 vasek00 Posted September 8, 2020 Share Posted September 8, 2020 (edited) 2 часа назад, Rom сказал: Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена." Интересует больше всего в данный момент удачная авторизация. Сен 8 17:07:33 ndm Core::Authenticator: user "wxxxxx" authenticated, realm "Keenetic Giga", tag "cli". Ок пароль Сен 8 17:08:39 ndm Core::Authenticator: user "wxxxxx": invalid password. Не Ок пароль user wxxxxx password md5 *** password nt *** tag cli tag http tag readonly или Сен 8 17:12:37 ndm Core::Authenticator: access to "cli" denied for user "wxxxxx". при правильном пароле user wxxxxx password md5 *** password nt *** tag http tag readonly Edited September 8, 2020 by vasek00 Quote Link to comment Share on other sites More sharing options...
0 keenet07 Posted September 8, 2020 Share Posted September 8, 2020 Голосовать сюда. Чтоб когда-нибудь появилась настраиваемая страница с отчетами по подобным событиям роутера. 1 Quote Link to comment Share on other sites More sharing options...
0 Mikesk Posted September 8, 2020 Share Posted September 8, 2020 3 часа назад, Rom сказал: Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена." Интересует больше всего в данный момент удачная авторизация. у вас через cli долбятся, а включаете вы логирование http (к слову, и там и там есть сообщения об успешной и неуспешной авторизации - попробуйте авторизоваться и посмотрите в лог). Quote Link to comment Share on other sites More sharing options...
0 Rom Posted September 8, 2020 Author Share Posted September 8, 2020 4 minutes ago, Mikesk said: у вас через cli долбятся, а включаете вы логирование http (к слову, и там и там есть сообщения об успешной и неуспешной авторизации - попробуйте авторизоваться и посмотрите в лог). Долбятся в хттпс, сообщений по умолчанию в логах не было появились после ip http log auth хотя в описании команды этого нет. В сообщении id сессии, что это даёт ? Core::Scgi::Auth: opened session QHNTLUBKTYCQBUCG for user admin. Quote Link to comment Share on other sites More sharing options...
0 Mikesk Posted September 8, 2020 Share Posted September 8, 2020 (edited) 17 минут назад, Rom сказал: Долбятся в хттпс, сообщений по умолчанию в логах не было появились после ip http log auth хотя в описании команды этого нет. В сообщении id сессии, что это даёт ? Core::Scgi::Auth: opened session QHNTLUBKTYCQBUCG for user admin. [E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".[E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum". Долбятся в CLI. Возможно, не только (но в первом сообщении в CLI). А что вам даст например знание IP ? Смените стандартные порты и будет вам счастье. Edited September 8, 2020 by Mikesk Quote Link to comment Share on other sites More sharing options...
0 Rom Posted September 8, 2020 Author Share Posted September 8, 2020 17 minutes ago, Mikesk said: [E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".[E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum". Долбятся в CLI. Возможно, не только (но в первом сообщении в CLI). А что вам даст например знание IP ? Смените стандартные порты и будет вам счастье. Ip может быть совершенно определенного клиента в обьединенной сети не только интернет, дальше читая лог желательно понимать кто входит в твое устройство ты или нет это опять же понятно по ip. Quote Link to comment Share on other sites More sharing options...
Question
Rom
Добрый день ! Нахожу в журнале следующие записи оставленные в 4 утра:
[E] Sep 8 04:17:02 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:08 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep 8 04:17:09 ndm: Core::Authenticator: no such user: "Admin".
[E] Sep 8 04:17:09 ndm: Core::Authenticator: no such user: "Admin".
[E] Sep 8 04:17:09 ndm: Core::Authenticator: missing a user name.
[E] Sep 8 04:17:09 ndm: Core::Authenticator: missing a user name.
[E] Sep 8 04:17:09 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep 8 04:17:10 ndm: Core::Syslog: last message repeated 9 times.
[E] Sep 8 04:17:10 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:18 ndm: Core::Syslog: last message repeated 7 times.
[E] Sep 8 04:17:20 ndm: Core::Authenticator: no such user: "airlive".
[E] Sep 8 04:17:20 ndm: Core::Authenticator: no such user: "airlive".
[E] Sep 8 04:17:20 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:21 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:22 ndm: Core::Authenticator: missing a user name.
[E] Sep 8 04:17:22 ndm: Core::Syslog: last message repeated 3 times.
[E] Sep 8 04:17:22 ndm: Core::Authenticator: no such user: "support".
[E] Sep 8 04:17:22 ndm: Core::Syslog: last message repeated 3 times.
[E] Sep 8 04:17:23 ndm: Core::Authenticator: missing a user name.
[E] Sep 8 04:17:23 ndm: Core::Authenticator: missing a user name.
[E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "support".
[E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "support".
[E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "ubnt".
[E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "ubnt".
[E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "super".
[E] Sep 8 04:17:23 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "adsl".
[E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "adsl".
[E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "user1!2@3#4$".
[E] Sep 8 04:17:23 ndm: Core::Authenticator: no such user: "user1!2@3#4$".
[E] Sep 8 04:17:23 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:24 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:26 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep 8 04:17:26 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep 8 04:17:26 ndm: Core::Authenticator: missing a user name.
[E] Sep 8 04:17:26 ndm: Core::Authenticator: missing a user name.
[E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "d6nw5v1x2pc7st9m".
[E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "d6nw5v1x2pc7st9m".
[E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "expert".
[E] Sep 8 04:17:26 ndm: Core::Authenticator: no such user: "expert".
[E] Sep 8 04:17:26 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:27 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:28 ndm: Core::Authenticator: no such user: "super".
[E] Sep 8 04:17:28 ndm: Core::Authenticator: no such user: "super".
[E] Sep 8 04:17:28 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:30 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:31 ndm: Core::Authenticator: no such user: "mts".
[E] Sep 8 04:17:31 ndm: Core::Authenticator: no such user: "mts".
[E] Sep 8 04:17:31 ndm: Core::Authenticator: no such user: "telecomadmin".
[E] Sep 8 04:17:31 ndm: Core::Authenticator: no such user: "telecomadmin".
[E] Sep 8 04:17:31 ndm: Core::Authenticator: no such user: "mgts".
[E] Sep 8 04:17:31 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep 8 04:17:31 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep 8 04:17:32 ndm: Core::Authenticator: user "admin": invalid password.
Вопрос: был ли подобран все-таки пароль или нет, если данные о любом успешном входе в журнале никак не отображаются ?
И кто именно все-таки долбился в устройство в смысле с какого адреса была попытка ?
Вопрос уже поднимался несколько лет назад:
Link to comment
Share on other sites
12 answers to this question
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.