Сообщения без ответов | Активные темы Текущее время: 19 янв 2020, 02:42



Ответить на тему  [ Сообщений: 22 ] 
Левые пользователи на Cisco 
Автор Сообщение

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
Настроил с нуля железку, минальная конфигурация, завел одного локального пользователя со сложным паролем, crypro rsa 2048 установил,
username master798 privilege 15 secret 5 $1$kK3I$sx6fBNE0GoSZ07IpJh/Fyj/, дал случайно команду sh users, вижу "левых" пользователей, откуда они могут проникнуть? Оставил "дыру", где она может быть? Кому нужен простой, домашний роутер ;)?


rt.rs#sh users
Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
10 vty 0 idle 00:00:08 185.232.67.8
11 vty 1 1234 idle 00:00:25 ip-113-130.4vendeta.com


line con 0
no modem enable
line aux 0
line 2
no activation-character
no exec
transport preferred none
transport input all
stopbits 1
line vty 0 5
login local
transport input ssh


На попытку залогиниться в терминале получаю предупреждение;



@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
SHA256:HmSTc8oy/Hrqmk7ZKOBAKzm6BoBRjj40MgiO2PvEZHE.
Please contact your system administrator.
Add correct host key in /Users/user/.ssh/known_hosts to get rid of this message.
Offending RSA key in /Users/user/.ssh/known_hosts:3
RSA host key for 10.0.0.1 has changed and you have requested strict checking.
Host key verification failed.


21 дек 2019, 17:37
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 954
любое взломанное устройство может использоваться для ботнета - так что это никого не интересует домашний он или нет.... используйте более менее свежие устройства и свежий софт....


21 дек 2019, 17:58
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
root99 писал(а):
любое взломанное устройство может использоваться для ботнета - так что это никого не интересует домашний он или нет.... используйте более менее свежие устройства и свежий софт....


Да вроде прошивка из актуальных. А как ботнет может использовать роутер циско? В конфигурации изменений нет, туннелей чужих не настроено, как маршрутизатор вовлекается в "грязные" дела?


21 дек 2019, 18:13
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
Поставил ACL на vty только вход с локальной сети. Буду разбираться.

Просто интересно, где "дыра" вылезла, непонятно.


21 дек 2019, 18:20
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 954
что хоть за устройство...


21 дек 2019, 18:23
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
root99 писал(а):
что хоть за устройство...


800 серия ISR с банальным конфигом.

#sh ver
Cisco IOS Software, C800 Software (C800-UNIVERSALK9-M), Version 15.9(3)M, RELEASE SOFTWARE (fc5)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2019 by Cisco Systems, Inc.
Compiled Tue 13-Aug-19 17:42 by prod_rel_team

ROM: System Bootstrap, Version 15.1(4r)M, RELEASE SOFTWARE (fc1)

rt.rs uptime is 2 days, 17 hours, 22 minutes
System returned to ROM by reload at 21:54:01 UTC Wed Dec 18 2019
System image file is "flash:c800-universalk9-mz.SPA.159-3.M.bin"
Last reload type: Normal Reload
Last reload reason: Reload Command



This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.

A summary of U.S. laws governing Cisco cryptographic products may be found at:
http://www.cisco.com/wwl/export/crypto/tool/stqrg.html

If you require further assistance please contact us by sending email to
export@cisco.com.

Cisco C881W-E-K9 (revision 1.0) with 363596K/29619K bytes of memory.
Processor board ID FGL1946225T
5 FastEthernet interfaces
1 Gigabit Ethernet interface
1 terminal line
1 Virtual Private Network (VPN) Module
1 cisco Embedded AP (s)
DRAM configuration is 32 bits wide
255K bytes of non-volatile configuration memory.
3796976K bytes of USB Flash usbflash0 (Read/Write)
250880K bytes of ATA System CompactFlash (Read/Write)




Код:
rt.rs#   sh run
Building configuration...

 
Current configuration : 2515 bytes
!
! Last configuration change at 15:13:15 UTC Sat Dec 21 2019 by lhn
!
version 15.9
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname rt.rs
!
boot-start-marker
boot-end-marker
!
!
!
no aaa new-model
service-module wlan-ap 0 bootimage autonomous
!

ip dhcp pool 33
 network 10.99.33.0 255.255.255.0
 default-router 10.99.33.1
 dns-server 10.99.0.1
!
ip dhcp pool 1
 network 10.99.1.0 255.255.255.0
 default-router 10.99.1.1
 dns-server 10.99.0.1

!
ip domain name rt.rs
ip name-server 8.8.8.8
ip name-server 8.8.4.4
ip cef
no ipv6 cef
!
!
multilink bundle-name authenticated
!

!
license udi pid C881W-E-K9 sn FGL1966224T
!
!
username master798 privilege 15 secret 5 $1$kf3I$sx6fYg0GodZ07IpJh/Fyj/
!
redundancy

!
interface Loopback0
 ip address 10.99.0.1 255.255.255.0
!
interface FastEthernet0
 no ip address
!
interface FastEthernet1
 no ip address
!
interface FastEthernet2
 no ip address
!
interface FastEthernet3
 no ip address
!
interface FastEthernet4
 ip address 184.123.188.61 255.255.255.240
 ip nat outside
 ip virtual-reassembly in
 duplex auto
 speed auto
!
interface Wlan-GigabitEthernet0
 no ip address
!
interface wlan-ap0
 ip unnumbered Vlan1
!
interface Vlan1
 ip address 10.99.1.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
interface Vlan11
 ip address 10.99.11.1 255.255.255.0
!
interface Vlan33
 ip address 10.99.33.1 255.255.255.0
 ip nat inside
 ip virtual-reassembly in
!
ip forward-protocol nd
no ip http server
no ip http secure-server
!
!
ip dns server
ip nat inside source list NAT interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 182.149.118.39
ip ssh version 2
!
ip access-list standard NAT
 permit 10.99.33.0 0.0.0.255
 permit 10.99.1.0 0.0.0.255
!
ipv6 ioam timestamp
!
access-list 23 permit 10.99.0.0 0.0.255.255
!
control-plane
!
!
!
mgcp behavior rsip-range tgcp-only
mgcp behavior comedia-role none
mgcp behavior comedia-check-media-src disable
mgcp behavior comedia-sdp-force disable
!
mgcp profile default
!

!
line con 0
 no modem enable
line aux 0
line 2
 no activation-character
 no exec
 transport preferred none
 transport input all
 stopbits 1
line vty 0 4
 access-class 23 in
 login local
 transport input ssh
line vty 5
 access-class 23 in
 login local
 transport input ssh
line vty 6 189
 access-class 23 in
 login
 transport input ssh
!
scheduler allocate 20000 1000
!
end

rt.rs# 


21 дек 2019, 18:24
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
А каким образом sh users может показывать залогиненных пользователей, которых в конфигурации не заведено?
Такое возможно?  Или вот вообще без пользователя кто-то сидит, столбец пользователя пуст.

 rt# sh users
Line User Host(s) Idle Location
580 vty 2 idle 00:00:02 ip-113-130.4vendeta.com


Это "дыра" прошивки Циско?


21 дек 2019, 19:08
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
Как думаете, какие действия нужно произвести, чтобы устранить последствия взлома?
Пока выставил запрет ACL.

Router(config)#access-list 99 permit host х.х.х.х.
Router(config)#line vty 5 15
Router(config-line)#transport input ssh
Router(config-line)#access-class 99 in
Router(config-line)#exit


21 дек 2019, 20:07
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 954
этого недостаточно, на интерфейс который смотрит в инет нужно повесить акл чтобы вообще исключить возможность коннекта к цицке извне....


21 дек 2019, 21:44
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
root99 писал(а):
этого недостаточно, на интерфейс который смотрит в инет нужно повесить акл чтобы вообще исключить возможность коннекта к цицке извне....


к сожалению не могу полностью лишить удаленный доступ к железке.


21 дек 2019, 23:44
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 954
да прямо таки - указываете айпи адреса источников - остальное рубите...., тем более вы сами себе противоречите, в акле 23 указаны только внутр. подсети....


21 дек 2019, 23:49
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
root99 писал(а):
да прямо таки - указываете айпи адреса источников - остальное рубите...., тем более вы сами себе противоречите, в акле 23 указаны только внутр. подсети....


ну, это я сгоряча отрубил сразу после обнаружения взлома, только локалку оставил, потом понял, что долго так оставить не смогу, доступ извне необходимо иметь.


22 дек 2019, 00:37
Профиль

Зарегистрирован: 14 май 2009, 12:57
Сообщения: 1993
Откуда: Волгоград
надо спросить гуру кащея - обычно ломают сиськи с сипом, остальные желтожёпым не нужны. макс, расскажи. =)


22 дек 2019, 09:24
Профиль ICQ

Зарегистрирован: 18 июн 2015, 08:26
Сообщения: 80
siqueiros писал(а):
root99 писал(а):
этого недостаточно, на интерфейс который смотрит в инет нужно повесить акл чтобы вообще исключить возможность коннекта к цицке извне....


к сожалению не могу полностью лишить удаленный доступ к железке.


Поставьте на свой 881 anyconnect+ddns (если нет белого айпи). Добавит одно звено, зато какая-никакая защита появится, и доступ будет. Я именно так поступил с домашней 1921.


22 дек 2019, 15:02
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
Maxische писал(а):
siqueiros писал(а):
root99 писал(а):
этого недостаточно, на интерфейс который смотрит в инет нужно повесить акл чтобы вообще исключить возможность коннекта к цицке извне....


к сожалению не могу полностью лишить удаленный доступ к железке.


Поставьте на свой 881 anyconnect+ddns (если нет белого айпи). Добавит одно звено, зато какая-никакая защита появится, и доступ будет. Я именно так поступил с домашней 1921.


Да, хороша идея, спасибо! Тоже о поднятии защищенного туннеля начал задумываться, видимо только так.


22 дек 2019, 15:39
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
_2e_ писал(а):
надо спросить гуру кащея - обычно ломают сиськи с сипом, остальные желтожёпым не нужны. макс, расскажи. =)


Было бы хорошо, если Гуру прокомментирует. Просто хотелось бы понять откуда растут ноги у уязвимости, думаю не только мне будет интересно и полезно. У меня ни сипа, ни скини на ней не было, вообще телефония не была поднята на этот момент.
Я на досуге хочу отформатировать флеш, залить образ прошивки по-новой и настроить с нуля роутер, завести нового пользователя с новым паролем и открыть доступ по SSH снаружи и посмотреть что будет происходить. Если будут также вламываться, значит "дыра", уязвимость в прошивке, (MD5 хеш проверял, не модифицированная), то есть выходит какой-то бэкдор существует, а циско не залатал эту уязвимость, так получается? SSH2 дырявым может быть? Железка конечно не из новых, но и не такая она древняя, чтобы как решето дырявой быть, поддержка еще даже есть.


22 дек 2019, 15:45
Профиль

Зарегистрирован: 29 май 2017, 21:19
Сообщения: 954
c800 по факту мёртвей не бывает как и все исрг2 - ещё нужно роммон перезатереть, просто прошивки недостаточно, взламывают сейчас как раз через IPSec, SSL VPN сервисы, помимо SIP, HTTP и т.д.

Ещё по-пробуйте откатиться на 158-3.М3 или на 157-3.М5


22 дек 2019, 16:38
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
root99 писал(а):
c800 по факту мёртвей не бывает как и все исрг2 - ещё нужно роммон перезатереть, просто прошивки недостаточно, взламывают сейчас как раз через IPSec, SSL VPN сервисы, помимо SIP, HTTP и т.д.

Ещё по-пробуйте откатиться на 158-3.М3 или на 157-3.М5


Мертвая пожалуй, вы правы, но до такой степени, чтобы дырявая как решето я не ожидал, странно что Cisco не заботит её престиж.
ROMMON надо будет поискать, спасибо за идею, если найду обновлю. И прошивку откачу, попробую в соседней ветке отписаться с поисками.


22 дек 2019, 17:56
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1357
Не парьтесь, это не взлом, это попытка подключения, вот к примеру
Код:
COBALT-RTR#sh users
    Line       User       Host(s)              Idle       Location
*  1 vty 0     mdenisov   idle                 00:00:00 10.255.255.3
   2 vty 1                idle                 00:00:04 10.255.255.3

  Interface    User               Mode         Idle     Peer Address

Первая сессия это моя живая, вторая это я ssh запустил и не пишу пароль.
Кстати решил я посмотреть чо это за адреса и вот что получил
Код:
COBALT-RTR#sh users
    Line       User       Host(s)              Idle       Location
*  1 vty 0     mdenisov   idle                 00:00:00 10.255.255.3
   2 vty 1                idle                 00:00:04 ip-113-130.4vendeta.com

Это на Cisco IOS XE Software, Version 16.09.03, а ваша ISR уже давно труп и престиж цыцки тут не причем. Есть четко расписанный lifecycle и ваша железка end of support. Меня недавно ломанули и налили немного телефонии через древние ISR'ы, я поискал эксплоиты и прифигел от их количества.


23 дек 2019, 08:45
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 22
siqueiros писал(а):
Поставил ACL на vty только вход с локальной сети. Буду разбираться.

Просто интересно, где "дыра" вылезла, непонятно.

На line 2 тоже ACL надо вешать и aaa new-model включить лишнем не будет.


23 дек 2019, 09:34
Профиль

Зарегистрирован: 17 окт 2016, 18:02
Сообщения: 209
Bessmertniy писал(а):
Не парьтесь, это не взлом, это попытка подключения, вот к примеру
Код:
COBALT-RTR#sh users
    Line       User       Host(s)              Idle       Location
*  1 vty 0     mdenisov   idle                 00:00:00 10.255.255.3
   2 vty 1                idle                 00:00:04 10.255.255.3

  Interface    User               Mode         Idle     Peer Address

Первая сессия это моя живая, вторая это я ssh запустил и не пишу пароль.
Кстати решил я посмотреть чо это за адреса и вот что получил
Код:
COBALT-RTR#sh users
    Line       User       Host(s)              Idle       Location
*  1 vty 0     mdenisov   idle                 00:00:00 10.255.255.3
   2 vty 1                idle                 00:00:04 ip-113-130.4vendeta.com

Это на Cisco IOS XE Software, Version 16.09.03, а ваша ISR уже давно труп и престиж цыцки тут не причем. Есть четко расписанный lifecycle и ваша железка end of support. Меня недавно ломанули и налили немного телефонии через древние ISR'ы, я поискал эксплоиты и прифигел от их количества.


Ситуация немного прояснилась, спасибо! Я интуитивно предполагал и надеялся, что команда sh users возможно однозначно не указывает на подключенных пользователей, а имеет также предупредительный характер.

p.s. Что за ip-113-130.4vendeta.com ломится везде, хакеры всесоюзного масштаба?


23 дек 2019, 17:23
Профиль
Аватара пользователя

Зарегистрирован: 03 апр 2013, 16:21
Сообщения: 1357
siqueiros писал(а):
Что за ip-113-130.4vendeta.com ломится везде, хакеры всесоюзного масштаба?

Понятия не имею, я зашел по http на адрес из whois для 185.232.67.8 и после этого оно попыталось подключиться к моему маршрутизатору.


23 дек 2019, 17:29
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 22 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 26


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB