|
|
Страница 1 из 1
|
[ Сообщений: 22 ] |
|
Левые пользователи на Cisco
Автор |
Сообщение |
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Настроил с нуля железку, минальная конфигурация, завел одного локального пользователя со сложным паролем, crypro rsa 2048 установил, username master798 privilege 15 secret 5 $1$kK3I$sx6fBNE0GoSZ07IpJh/Fyj/, дал случайно команду sh users, вижу "левых" пользователей, откуда они могут проникнуть? Оставил "дыру", где она может быть? Кому нужен простой, домашний роутер ? rt.rs#sh users Line User Host(s) Idle Location * 0 con 0 idle 00:00:00 10 vty 0 idle 00:00:08 185.232.67.8 11 vty 1 1234 idle 00:00:25 ip-113-130.4vendeta.comline con 0 no modem enable line aux 0 line 2 no activation-character no exec transport preferred none transport input all stopbits 1 line vty 0 5 login local transport input ssh На попытку залогиниться в терминале получаю предупреждение;@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the RSA key sent by the remote host is SHA256:HmSTc8oy/Hrqmk7ZKOBAKzm6BoBRjj40MgiO2PvEZHE. Please contact your system administrator. Add correct host key in /Users/user/.ssh/known_hosts to get rid of this message. Offending RSA key in /Users/user/.ssh/known_hosts:3 RSA host key for 10.0.0.1 has changed and you have requested strict checking. Host key verification failed.
|
21 дек 2019, 17:37 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
любое взломанное устройство может использоваться для ботнета - так что это никого не интересует домашний он или нет.... используйте более менее свежие устройства и свежий софт....
|
21 дек 2019, 17:58 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): любое взломанное устройство может использоваться для ботнета - так что это никого не интересует домашний он или нет.... используйте более менее свежие устройства и свежий софт.... Да вроде прошивка из актуальных. А как ботнет может использовать роутер циско? В конфигурации изменений нет, туннелей чужих не настроено, как маршрутизатор вовлекается в "грязные" дела?
|
21 дек 2019, 18:13 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Поставил ACL на vty только вход с локальной сети. Буду разбираться.
Просто интересно, где "дыра" вылезла, непонятно.
|
21 дек 2019, 18:20 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
что хоть за устройство...
|
21 дек 2019, 18:23 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): что хоть за устройство... 800 серия ISR с банальным конфигом. #sh ver Cisco IOS Software, C800 Software (C800-UNIVERSALK9-M), Version 15.9(3)M, RELEASE SOFTWARE (fc5) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2019 by Cisco Systems, Inc. Compiled Tue 13-Aug-19 17:42 by prod_rel_team
ROM: System Bootstrap, Version 15.1(4r)M, RELEASE SOFTWARE (fc1)
rt.rs uptime is 2 days, 17 hours, 22 minutes System returned to ROM by reload at 21:54:01 UTC Wed Dec 18 2019 System image file is "flash:c800-universalk9-mz.SPA.159-3.M.bin" Last reload type: Normal Reload Last reload reason: Reload Command
This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately.
A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html
If you require further assistance please contact us by sending email to export@cisco.com.
Cisco C881W-E-K9 (revision 1.0) with 363596K/29619K bytes of memory. Processor board ID FGL1946225T 5 FastEthernet interfaces 1 Gigabit Ethernet interface 1 terminal line 1 Virtual Private Network (VPN) Module 1 cisco Embedded AP (s) DRAM configuration is 32 bits wide 255K bytes of non-volatile configuration memory. 3796976K bytes of USB Flash usbflash0 (Read/Write) 250880K bytes of ATA System CompactFlash (Read/Write)Код: rt.rs# sh run Building configuration...
Current configuration : 2515 bytes ! ! Last configuration change at 15:13:15 UTC Sat Dec 21 2019 by lhn ! version 15.9 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname rt.rs ! boot-start-marker boot-end-marker ! ! ! no aaa new-model service-module wlan-ap 0 bootimage autonomous !
ip dhcp pool 33 network 10.99.33.0 255.255.255.0 default-router 10.99.33.1 dns-server 10.99.0.1 ! ip dhcp pool 1 network 10.99.1.0 255.255.255.0 default-router 10.99.1.1 dns-server 10.99.0.1
! ip domain name rt.rs ip name-server 8.8.8.8 ip name-server 8.8.4.4 ip cef no ipv6 cef ! ! multilink bundle-name authenticated !
! license udi pid C881W-E-K9 sn FGL1966224T ! ! username master798 privilege 15 secret 5 $1$kf3I$sx6fYg0GodZ07IpJh/Fyj/ ! redundancy
! interface Loopback0 ip address 10.99.0.1 255.255.255.0 ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 ip address 184.123.188.61 255.255.255.240 ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface Wlan-GigabitEthernet0 no ip address ! interface wlan-ap0 ip unnumbered Vlan1 ! interface Vlan1 ip address 10.99.1.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! interface Vlan11 ip address 10.99.11.1 255.255.255.0 ! interface Vlan33 ip address 10.99.33.1 255.255.255.0 ip nat inside ip virtual-reassembly in ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ip dns server ip nat inside source list NAT interface FastEthernet4 overload ip route 0.0.0.0 0.0.0.0 182.149.118.39 ip ssh version 2 ! ip access-list standard NAT permit 10.99.33.0 0.0.0.255 permit 10.99.1.0 0.0.0.255 ! ipv6 ioam timestamp ! access-list 23 permit 10.99.0.0 0.0.255.255 ! control-plane ! ! ! mgcp behavior rsip-range tgcp-only mgcp behavior comedia-role none mgcp behavior comedia-check-media-src disable mgcp behavior comedia-sdp-force disable ! mgcp profile default !
! line con 0 no modem enable line aux 0 line 2 no activation-character no exec transport preferred none transport input all stopbits 1 line vty 0 4 access-class 23 in login local transport input ssh line vty 5 access-class 23 in login local transport input ssh line vty 6 189 access-class 23 in login transport input ssh ! scheduler allocate 20000 1000 ! end
rt.rs#
|
21 дек 2019, 18:24 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
А каким образом sh users может показывать залогиненных пользователей, которых в конфигурации не заведено? Такое возможно? Или вот вообще без пользователя кто-то сидит, столбец пользователя пуст.
rt# sh users Line User Host(s) Idle Location 580 vty 2 idle 00:00:02 ip-113-130.4vendeta.com
Это "дыра" прошивки Циско?
|
21 дек 2019, 19:08 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Как думаете, какие действия нужно произвести, чтобы устранить последствия взлома? Пока выставил запрет ACL.
Router(config)#access-list 99 permit host х.х.х.х. Router(config)#line vty 5 15 Router(config-line)#transport input ssh Router(config-line)#access-class 99 in Router(config-line)#exit
|
21 дек 2019, 20:07 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
этого недостаточно, на интерфейс который смотрит в инет нужно повесить акл чтобы вообще исключить возможность коннекта к цицке извне....
|
21 дек 2019, 21:44 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): этого недостаточно, на интерфейс который смотрит в инет нужно повесить акл чтобы вообще исключить возможность коннекта к цицке извне.... к сожалению не могу полностью лишить удаленный доступ к железке.
|
21 дек 2019, 23:44 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
да прямо таки - указываете айпи адреса источников - остальное рубите...., тем более вы сами себе противоречите, в акле 23 указаны только внутр. подсети....
|
21 дек 2019, 23:49 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): да прямо таки - указываете айпи адреса источников - остальное рубите...., тем более вы сами себе противоречите, в акле 23 указаны только внутр. подсети.... ну, это я сгоряча отрубил сразу после обнаружения взлома, только локалку оставил, потом понял, что долго так оставить не смогу, доступ извне необходимо иметь.
|
22 дек 2019, 00:37 |
|
|
_2e_
Зарегистрирован: 14 май 2009, 12:57 Сообщения: 2067 Откуда: Волгоград
|
надо спросить гуру кащея - обычно ломают сиськи с сипом, остальные желтожёпым не нужны. макс, расскажи. =)
|
22 дек 2019, 09:24 |
|
|
Maxische
Зарегистрирован: 18 июн 2015, 08:26 Сообщения: 155
|
siqueiros писал(а): root99 писал(а): этого недостаточно, на интерфейс который смотрит в инет нужно повесить акл чтобы вообще исключить возможность коннекта к цицке извне.... к сожалению не могу полностью лишить удаленный доступ к железке. Поставьте на свой 881 anyconnect+ddns (если нет белого айпи). Добавит одно звено, зато какая-никакая защита появится, и доступ будет. Я именно так поступил с домашней 1921.
|
22 дек 2019, 15:02 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Maxische писал(а): siqueiros писал(а): root99 писал(а): этого недостаточно, на интерфейс который смотрит в инет нужно повесить акл чтобы вообще исключить возможность коннекта к цицке извне.... к сожалению не могу полностью лишить удаленный доступ к железке. Поставьте на свой 881 anyconnect+ddns (если нет белого айпи). Добавит одно звено, зато какая-никакая защита появится, и доступ будет. Я именно так поступил с домашней 1921. Да, хороша идея, спасибо! Тоже о поднятии защищенного туннеля начал задумываться, видимо только так.
|
22 дек 2019, 15:39 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
_2e_ писал(а): надо спросить гуру кащея - обычно ломают сиськи с сипом, остальные желтожёпым не нужны. макс, расскажи. =) Было бы хорошо, если Гуру прокомментирует. Просто хотелось бы понять откуда растут ноги у уязвимости, думаю не только мне будет интересно и полезно. У меня ни сипа, ни скини на ней не было, вообще телефония не была поднята на этот момент. Я на досуге хочу отформатировать флеш, залить образ прошивки по-новой и настроить с нуля роутер, завести нового пользователя с новым паролем и открыть доступ по SSH снаружи и посмотреть что будет происходить. Если будут также вламываться, значит "дыра", уязвимость в прошивке, (MD5 хеш проверял, не модифицированная), то есть выходит какой-то бэкдор существует, а циско не залатал эту уязвимость, так получается? SSH2 дырявым может быть? Железка конечно не из новых, но и не такая она древняя, чтобы как решето дырявой быть, поддержка еще даже есть.
|
22 дек 2019, 15:45 |
|
|
root99
Зарегистрирован: 29 май 2017, 21:19 Сообщения: 1404
|
c800 по факту мёртвей не бывает как и все исрг2 - ещё нужно роммон перезатереть, просто прошивки недостаточно, взламывают сейчас как раз через IPSec, SSL VPN сервисы, помимо SIP, HTTP и т.д.
Ещё по-пробуйте откатиться на 158-3.М3 или на 157-3.М5
|
22 дек 2019, 16:38 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
root99 писал(а): c800 по факту мёртвей не бывает как и все исрг2 - ещё нужно роммон перезатереть, просто прошивки недостаточно, взламывают сейчас как раз через IPSec, SSL VPN сервисы, помимо SIP, HTTP и т.д.
Ещё по-пробуйте откатиться на 158-3.М3 или на 157-3.М5 Мертвая пожалуй, вы правы, но до такой степени, чтобы дырявая как решето я не ожидал, странно что Cisco не заботит её престиж. ROMMON надо будет поискать, спасибо за идею, если найду обновлю. И прошивку откачу, попробую в соседней ветке отписаться с поисками.
|
22 дек 2019, 17:56 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
Не парьтесь, это не взлом, это попытка подключения, вот к примеру Код: COBALT-RTR#sh users Line User Host(s) Idle Location * 1 vty 0 mdenisov idle 00:00:00 10.255.255.3 2 vty 1 idle 00:00:04 10.255.255.3
Interface User Mode Idle Peer Address Первая сессия это моя живая, вторая это я ssh запустил и не пишу пароль. Кстати решил я посмотреть чо это за адреса и вот что получил Код: COBALT-RTR#sh users Line User Host(s) Idle Location * 1 vty 0 mdenisov idle 00:00:00 10.255.255.3 2 vty 1 idle 00:00:04 ip-113-130.4vendeta.com Это на Cisco IOS XE Software, Version 16.09.03, а ваша ISR уже давно труп и престиж цыцки тут не причем. Есть четко расписанный lifecycle и ваша железка end of support. Меня недавно ломанули и налили немного телефонии через древние ISR'ы, я поискал эксплоиты и прифигел от их количества.
|
23 дек 2019, 08:45 |
|
|
mihalich
Зарегистрирован: 03 дек 2019, 09:17 Сообщения: 42
|
siqueiros писал(а): Поставил ACL на vty только вход с локальной сети. Буду разбираться.
Просто интересно, где "дыра" вылезла, непонятно. На line 2 тоже ACL надо вешать и aaa new-model включить лишнем не будет.
|
23 дек 2019, 09:34 |
|
|
siqueiros
Зарегистрирован: 17 окт 2016, 18:02 Сообщения: 228
|
Bessmertniy писал(а): Не парьтесь, это не взлом, это попытка подключения, вот к примеру Код: COBALT-RTR#sh users Line User Host(s) Idle Location * 1 vty 0 mdenisov idle 00:00:00 10.255.255.3 2 vty 1 idle 00:00:04 10.255.255.3
Interface User Mode Idle Peer Address Первая сессия это моя живая, вторая это я ssh запустил и не пишу пароль. Кстати решил я посмотреть чо это за адреса и вот что получил Код: COBALT-RTR#sh users Line User Host(s) Idle Location * 1 vty 0 mdenisov idle 00:00:00 10.255.255.3 2 vty 1 idle 00:00:04 ip-113-130.4vendeta.com Это на Cisco IOS XE Software, Version 16.09.03, а ваша ISR уже давно труп и престиж цыцки тут не причем. Есть четко расписанный lifecycle и ваша железка end of support. Меня недавно ломанули и налили немного телефонии через древние ISR'ы, я поискал эксплоиты и прифигел от их количества. Ситуация немного прояснилась, спасибо! Я интуитивно предполагал и надеялся, что команда sh users возможно однозначно не указывает на подключенных пользователей, а имеет также предупредительный характер. p.s. Что за ip-113-130.4vendeta.com ломится везде, хакеры всесоюзного масштаба?
|
23 дек 2019, 17:23 |
|
|
Bessmertniy
Зарегистрирован: 03 апр 2013, 16:21 Сообщения: 1525
|
siqueiros писал(а): Что за ip-113-130.4vendeta.com ломится везде, хакеры всесоюзного масштаба? Понятия не имею, я зашел по http на адрес из whois для 185.232.67.8 и после этого оно попыталось подключиться к моему маршрутизатору.
|
23 дек 2019, 17:29 |
|
|
|
Страница 1 из 1
|
[ Сообщений: 22 ] |
|
Кто сейчас на конференции |
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 29 |
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете добавлять вложения
|
|
|