Chirurgia cranio-cerebrală minim invazivă
Tehnicile minim invazive impun utilizarea unei tehnologii ultramoderne. Endoscoapele operatorii de diverse tipuri, microscopul operator dedicat, neuronavigația, neuroelectrofiziologia, tehnicile avansate de anestezie, chirurgia cu pacientul treaz reprezintă armamentarium fără de care neurochirurgia prin "gaura cheii" nu ar fi posibilă. Folosind tehnicile de mai sus, tratăm un spectru larg de patologii cranio-cerebrale. www.neurohope.ro |
Ajutor - trafic SSH suspect din retea...
Last Updated: Jun 22 2017 15:02, Started by
ThePuiu
, Jun 22 2017 09:26
·
0
#1
Posted 22 June 2017 - 09:26
Salut, se da o retea in spatele unui router TPLink ieftin. Internetul este furnizat de RDS. In retea sint 2 compuri si un DVR. Concret, eu am acces doar la unul din computere, celelalte echipamente fiind in administrarea altei firme. Primesc aproape zilnic atentionari din partea RDS ca de pe IP-ul nostru se face trafic SSH pe porturi 40XXX si 50XXX. Compul la care am acces a fost reinstalat, are pe el Defenderul si Malwarebyte. Nici una din aplicatii nu arata ca ar fi o problema. Cei care detin celelalte echipamente spun ca si ei au verificat si nu e problema de la ei... Va rog un sfat ce as putea sa fac ca sa pot identifica sursa problemei pt ca deja rabdarea celor de la RDS a ajuns la capat si o sa ne taie netul. Compul "meu" functioneaza intre orele 9-17, iar in log-ul de la RDS arata ca sint atacuri inclusiv noaptea la ora 12...deci eu sint aproape 100% ca problema e pe compul celalat sau pe DVR. Nu stiu daca se poate elimina din ecuatie routerul in sine...
Multumesc |
#2
Posted 22 June 2017 - 09:32
Nu ai acces la router sa verifici daca este setat port forwarding sau daca este utilizat uPnp ? Si apoi ce treaba au astia de la RDS daca sunt utilizate sau nu porturile alea ?
Cum isi dau aia seama daca e folosit protocolul SSH sau nu ? Ala e criptat prin definitie. Mai degraba e vorba de vreun client de torrente Si apoi sunteti firma, chemati un specialist IT, il platiti bine si identifica el problema. Edited by modoran, 22 June 2017 - 09:33. |
#3
Posted 22 June 2017 - 09:36
La TP-Link cine are access ?
Sa verifice un log, eventual sa inchida porturile respective. Router wireless? |
#4
Posted 22 June 2017 - 09:38
#5
Posted 22 June 2017 - 09:47
@modoran: am chemat la compul meu si am precizat ca nu sint probleme
@MarianG: momentan nu am acces la router, vad ca au fost schimbate user/parola default...dar nu ma astept sa gasesc mare lucru in logul lui. Porturile sint foarte multe... Asta e de la RDS: Jun 21 18:55:15 falk-fw1 sshd[32264]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=86.125.XXX.XXX user=root Jun 21 18:55:17 falk-fw1 sshd[32264]: Failed password for root from 86.125.XXX.XXX port 49868 ssh2 Jun 21 18:55:19 falk-fw1 sshd[32338]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=86.125.XXX.XXX user=root Jun 21 18:55:21 falk-fw1 sshd[32338]: Failed password for root from 86.125.XXX.XXX port 49930 ssh2 Jun 21 18:55:23 falk-fw1 sshd[32474]: Invalid user ubnt from 86.125.XXX.XXX Jun 21 18:55:23 falk-fw1 sshd[32474]: Failed none for invalid user ubnt from 86.125.XXX.XXX port 50063 ssh2 Jun 21 18:55:23 falk-fw1 sshd[32474]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=86.125.XXX.XXX Jun 21 18:55:25 falk-fw1 sshd[32474]: Failed password for invalid user ubnt from 86.125.XXX.XXX port 50063 ssh2 Jun 21 18:55:27 falk-fw1 sshd[32622]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=86.125.XXX.XXX user=root Jun 21 18:55:29 falk-fw1 sshd[32622]: Failed password for root from 86.125.XXX.XXX port 50173 ssh2 Jun 21 18:55:31 falk-fw1 sshd[745]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=86.125.XXX.XXX user=root Jun 21 18:55:33 falk-fw1 sshd[745]: Failed password for root from 86.125.XXX.XXX port 50308 ssh2 Edited by ThePuiu, 22 June 2017 - 09:48. |
#7
Posted 22 June 2017 - 10:00
#8
Posted 22 June 2017 - 10:03
Initial credeam ca pur si simplu ai trafic suspect in retea iar RDS (baieti buni) te-au atentionat cu o chestie.
Quote vad ca au fost schimbate user/parola default Edited by MarianG, 22 June 2017 - 10:08. |
#9
Posted 22 June 2017 - 10:10
Ar trebui deconectate computerele de reţea peste noapte, dacă şi aşa ai atacuri poate a hăck-uit cineva routerul şi de-acolo porneşte problema.
|
#10
Posted 22 June 2017 - 10:13
86.125.xxx.xxx e ip-ul tau?
Fa update de firmware la router (chiar daca e aceeasi versiune) si dezactiveaza administrarea pe wan. A aparut malware si pentru routere |
|
#11
Posted 22 June 2017 - 10:28
sau poate e pur si simplu altccineva conectat la router-ul vostru, mie asta mi se pare raspunsul cel mai simplu. fara acces la router nu prea ai ce sa faci.
|
#12
Posted 22 June 2017 - 10:34
am reusit sa obtin user si parola de la router. Am gasit la portforwarding vreo 6 reguli ciudate pe care le-am sters si am dezactivat wifi-ul pt ca nu era nevoie de el.
Nu am parola de la RDS ca as face si rescrierea firmware-ului in router...dar sper ca s-a rezolvat prin ceea ce am facut. Daca nu, o sa cer o noua parola si resoftare... |
#13
Posted 22 June 2017 - 10:35
Poate va ataca
https://krebsonsecur...nternet-outage/ Cat despre parole. Salveaza configuratia din router, apoi deschide-o cu acest program http://www.nirsoft.n...d_recovery.html Edited by xxvirusxx, 22 June 2017 - 10:36. |
#14
Posted 22 June 2017 - 10:38
Update-ul de firmware de obicei nu implica stergerea datelor de conectare (user si pass). Cel putin la TP-Link-urile cu care am avut treaba nu a fost cazul. Ar fi fost curios sa pui ce reguli erau la port-fwd sa vedem ce a gandit hacherul.
|
#15
Posted 22 June 2017 - 10:57
In general se pastreaza toate setarile la routerele TP-Link atunci cand se face upgrade de firmware.
In foarte rare cazuri, in care s-au facut modificari importante si upgrade-ul la noul firmware se face prin firmware intermediar, atunci se pot pierde datele, dar n-am mai intalnit asa ceva de cativa ani si chiar si atunci au fost doar 2 modele de genul. Plus ca permit si backup al setarilor - salvezi un fisier de backup pe PC si la nevoie ii dai import. O problema ar fi fost si daca routerul e vechi - acum vreo 2-3 ani s-a descoperit ca exista o parola default pe wifi la routerele TP-Link ce permit preluarea controlului. Era utilizata in fabrica ptr teste. Upgrade-ul de firmware ulterior a rezolvat problema. |
|
#16
Posted 22 June 2017 - 11:49
trebuia sa te uiti si tu in lista de acces a router-ului, sa vezi cine se conecteaza.
|
#17
Posted 22 June 2017 - 12:18
Vad ca nu prea intelege lumea pe aici.
@ThePuiu Daca te-a anuntat RDS-ul inseamna ca atacurile respective pleaca de la conexiunea/IP-ul tau catre alte IP-uri. Sunt niste incercari de conectare pe SSH catre diferite IP-uri. Verifica in primul rand DVR-ul ca astea sunt securizate ca un rahat. Edited by diZy, 22 June 2017 - 12:23. |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users