Jump to content
  • 0
Rom

Был ли взлом ?

Question

Добрый день ! Нахожу в журнале следующие записи оставленные в 4 утра:

[E] Sep  8 04:17:02 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:08 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep  8 04:17:09 ndm: Core::Authenticator: no such user: "Admin".
[E] Sep  8 04:17:09 ndm: Core::Authenticator: no such user: "Admin".
[E] Sep  8 04:17:09 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:09 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:09 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep  8 04:17:10 ndm: Core::Syslog: last message repeated 9 times.
[E] Sep  8 04:17:10 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:18 ndm: Core::Syslog: last message repeated 7 times.
[E] Sep  8 04:17:20 ndm: Core::Authenticator: no such user: "airlive".
[E] Sep  8 04:17:20 ndm: Core::Authenticator: no such user: "airlive".
[E] Sep  8 04:17:20 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:21 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:22 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:22 ndm: Core::Syslog: last message repeated 3 times.
[E] Sep  8 04:17:22 ndm: Core::Authenticator: no such user: "support".
[E] Sep  8 04:17:22 ndm: Core::Syslog: last message repeated 3 times.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "support".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "support".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "ubnt".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "ubnt".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "super".
[E] Sep  8 04:17:23 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "adsl".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "adsl".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "user1!2@3#4$".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: no such user: "user1!2@3#4$".
[E] Sep  8 04:17:23 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:24 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:26 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: access to "torrent" denied for user "root".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:26 ndm: Core::Authenticator: missing a user name.
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "d6nw5v1x2pc7st9m".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "d6nw5v1x2pc7st9m".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "expert".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "expert".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:27 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:28 ndm: Core::Authenticator: no such user: "super".
[E] Sep  8 04:17:28 ndm: Core::Authenticator: no such user: "super".
[E] Sep  8 04:17:28 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:30 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "mts".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "mts".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "telecomadmin".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "telecomadmin".
[E] Sep  8 04:17:31 ndm: Core::Authenticator: no such user: "mgts".
[E] Sep  8 04:17:31 ndm: Core::Syslog: last message repeated 5 times.
[E] Sep  8 04:17:31 ndm: Core::Authenticator: user "admin": invalid password.
[E] Sep  8 04:17:32 ndm: Core::Authenticator: user "admin": invalid password.

Вопрос: был ли подобран все-таки пароль или нет, если данные о любом успешном входе в журнале никак не отображаются ?

И кто именно все-таки долбился в устройство в смысле с какого адреса была попытка ?

Вопрос уже поднимался несколько лет назад:

 

 

 

 

  • Thanks 1

Share this post


Link to post
Share on other sites

12 answers to this question

Recommended Posts

  • 0
21 минуту назад, Rom сказал:

Вопрос: был ли подобран все-таки пароль или нет, если данные о любом успешном входе в журнале никак не отображаются ?

И кто именно все-таки долбился в устройство в смысле с какого адреса была попытка ?

До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии"

Share this post


Link to post
Share on other sites
  • 0
1 minute ago, Mamay said:

До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии"

Инвалиды до последней записи списка, а дальше настает неизвестность

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Rom сказал:

Инвалиды до последней записи списка, а дальше настает неизвестность

Дык в приведённой вами же теме, разработчик уже писал ip http log auth

Share this post


Link to post
Share on other sites
  • 0
56 minutes ago, Mamay said:

До той поры пока в логе "инвалиды" - видимо взлом не произошёл. Долбится стопудово какая-то ботнет, возможно из Китая... И да. ip http lockout-policy 4 60 1 - спасёт "отца русской демократии"

Кстати, ip http lockout-policy это все хорошо, но интересует это ботнет из Китая или все-таки злой юзер из местной интрасети, что есть две большие разницы, "Имя, сестра, имя ?". Захватить адрес входящего и записать его в лог не есть мега-проблема, зато существенно успокоило бы владельцев любых устройств в том, что каждый раз в систему входит именно он, а не кому кто угодно

Share this post


Link to post
Share on other sites
  • 0
2 minutes ago, Mamay said:

Дык в приведённой вами же теме, разработчик уже писал ip http log auth

Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена."

Интересует больше всего в данный момент удачная авторизация.

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, Rom сказал:

Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена."

Интересует больше всего в данный момент удачная авторизация.

Сен 8 17:07:33 ndm Core::Authenticator: user "wxxxxx" authenticated, realm "Keenetic Giga", tag "cli".

Ок пароль

Сен 8 17:08:39 ndm Core::Authenticator: user "wxxxxx": invalid password.

Не Ок пароль


user wxxxxx
    password md5 ***
    password nt ***
    tag cli
    tag http
    tag readonly
    



или 

Сен 8 17:12:37 ndm Core::Authenticator: access to "cli" denied for user "wxxxxx".

при правильном пароле

user wxxxxx
    password md5 ***
    password nt ***
    tag http
    tag readonly
    

 

Edited by vasek00

Share this post


Link to post
Share on other sites
  • 0

Голосовать сюда.

Чтоб когда-нибудь появилась настраиваемая страница с отчетами по подобным событиям роутера.

  • Upvote 1

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, Rom сказал:

Я уже нашел и включил ip http log auth, но смотрим описание " Включить логирование попыток неудачной авторизации в системе.По умолчанию функция отключена."

Интересует больше всего в данный момент удачная авторизация.

у вас через cli долбятся, а включаете вы логирование http (к слову, и там и там есть сообщения об успешной и неуспешной авторизации - попробуйте авторизоваться и посмотрите в лог).

Share this post


Link to post
Share on other sites
  • 0
4 minutes ago, Mikesk said:

у вас через cli долбятся, а включаете вы логирование http (к слову, и там и там есть сообщения об успешной и неуспешной авторизации - попробуйте авторизоваться и посмотрите в лог).

Долбятся в хттпс, сообщений по умолчанию в логах не было появились после  ip http log auth хотя в описании команды этого нет. В сообщении id сессии, что это даёт ? 

Core::Scgi::Auth: opened session QHNTLUBKTYCQBUCG for user admin.

Share this post


Link to post
Share on other sites
  • 0
17 минут назад, Rom сказал:

Долбятся в хттпс, сообщений по умолчанию в логах не было появились после  ip http log auth хотя в описании команды этого нет. В сообщении id сессии, что это даёт ? 

Core::Scgi::Auth: opened session QHNTLUBKTYCQBUCG for user admin.

[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".

 

Долбятся в CLI. Возможно, не только (но в первом сообщении в CLI). А что вам даст например знание IP :)? Смените стандартные порты и будет вам счастье.

Edited by Mikesk

Share this post


Link to post
Share on other sites
  • 0
17 minutes ago, Mikesk said:

[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".
[E] Sep  8 04:17:26 ndm: Core::Authenticator: no such user: "spectrum".

 

Долбятся в CLI. Возможно, не только (но в первом сообщении в CLI). А что вам даст например знание IP :)? Смените стандартные порты и будет вам счастье.

Ip может быть совершенно определенного клиента в обьединенной сети не только интернет, дальше читая лог желательно понимать кто входит в твое устройство ты или нет это опять же понятно по ip. 

Share this post


Link to post
Share on other sites
  • 0

Все равно не пойму как можно ломиться в устройство и, судя по тому что в журнале есть записи о наличии или отсутствии какого-то пользователя и неправильного его пароля все проходит очень успешно, но в то же время доступ к CLI снаружи закрыт и никогда не открывался ? Я не работал с CLI никогда.

2020-09-09_085732.jpg.7174668a1c1357415014c7d8d6dd5e25.jpg

 

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...