О деактивации форума Eltex

Уважаемые коллеги! В связи с потерей актуальности данного ресурса, нами было принято решение о частичной деактивации форума Eltex. Мы отключили функции регистрации и создания новых тем, а также возможность оставлять сообщения. Форум продолжит работу в "режиме чтения", так как за долгие годы работы здесь накопилось много полезной информации и ответов на часто встречающиеся вопросы.

Мы активно развиваем другие каналы коммуникаций, которые позволяют более оперативно и адресно консультировать наших клиентов. Если у вас возникли вопросы по работе оборудования, вы можете обратиться в техническую поддержку Eltex, воспользовавшись формой обращения на сайте компании или оставить заявку в системе Service Desk. По иным вопросам проконсультируют наши менеджеры коммерческого отдела: eltex@eltex-co.ru.

Подбирают пароль на LTP - как узнать кто?

ONT NTE / NTP, OLT LTE / LTP / MA4000-PX
d771
Сообщения: 168
Зарегистрирован: 31 июл 2015 23:17
Reputation: 0

Подбирают пароль на LTP - как узнать кто?

Сообщение d771 » 03 июл 2021 20:01

Здравствуйте!
Сообщения в логах такие:
Jul 3 19:24:13 olt sshd: auth.c:getpwnamallow: lost login name: MikroTik
Jul 3 19:24:20 olt sshd: auth.c:getpwnamallow: lost login name: profile1
Jul 3 19:24:27 olt sshd: auth.c:getpwnamallow: lost login name: profile1

Понятно, что заражен один из компов в vlan управления. Там их не много, нашли.
Но было бы неплохо, чтобы писало в логах MAC и IP этого компа, как делает тот же d-link на свичах.

Александр Д
Сообщения: 1109
Зарегистрирован: 14 июн 2011 10:11
Reputation: 2
Откуда: Элтекс
Контактная информация:

Re: Подбирают пароль на LTP - как узнать кто?

Сообщение Александр Д » 14 июл 2021 08:55

Добрый день,

В логах должны быть сообщения к примеру

Jan 22 23:26:59 LTP-8X sshd: Permission denied for admin from 192.168.11.20

У вас таких нет? какая версия софта?
Александр Диркс / Элтекс / Сервисный центр ШПД /

d771
Сообщения: 168
Зарегистрирован: 31 июл 2015 23:17
Reputation: 0

Re: Подбирают пароль на LTP - как узнать кто?

Сообщение d771 » 22 июл 2021 13:41

Софт 3.38, более новый пока не пробовали.

Код: Выделить всё

# show logging
    Log:
        Remote syslog:                                 192.168.1.1
        Port:                                          514
        Size:                                          16384
        Origin-id:
            Type:                                      ip
        Save logs between boots:                       false
        Log input commands:                            false
        Destinations:
            System:                                    debug
            Console:                                   critical
            Remote shells:                             info
            File:                                      none

# show running-config logging
configure terminal
logging remote "192.168.1.1"
logging system loglevel "debug"
logging rsh loglevel "info"
logging file loglevel "none"
logging module pmchal-olt loglevel "info"
logging module pmchal-gpon-port loglevel "info"
exit
commit

Что-то нужно включить дополнительно?

Александр Д
Сообщения: 1109
Зарегистрирован: 14 июн 2011 10:11
Reputation: 2
Откуда: Элтекс
Контактная информация:

Re: Подбирают пароль на LTP - как узнать кто?

Сообщение Александр Д » 27 июл 2021 09:03

А где вы хотите увидеть данные сообщения в логах OLT (по команде show log ltp) или на удаленном сервере сислог у вас он указан 192.168.1.1?
Александр Диркс / Элтекс / Сервисный центр ШПД /

d771
Сообщения: 168
Зарегистрирован: 31 июл 2015 23:17
Reputation: 0

Re: Подбирают пароль на LTP - как узнать кто?

Сообщение d771 » 13 авг 2021 10:14

Да хотелось бы где угодно, хоть в консоли, хоть в syslog.
в syslog такое:

Код: Выделить всё

Aug 12 20:44:28 192.168.1.2 sshd: auth.c:getpwnamallow: lost login name: profile1
Aug 12 20:45:00 192.168.1.2 last message repeated 5 times
Aug 12 20:45:21 192.168.1.2 last message repeated 2 times
Aug 12 20:45:21 192.168.1.2 sshd: auth.c:getpwnamallow: lost login name: user1
Aug 12 20:45:54 192.168.1.2 last message repeated 5 times
Aug 12 20:46:48 192.168.1.2 last message repeated 8 times


Единственный вариант, когда видно ip - вот такой:

Код: Выделить всё

Aug 12 20:35:23 192.168.1.2 sshd: Did not receive identification string from 192.168.162.222

Но как я понимаю это только в случае, если ssh сессия оборвалась на этапе ввода пароля, такого может и вообще не быть.
Таких строк, как вы указали - нет. Возможно бот как-то по-другому, с нарушением протокола, подбирает пароль и в логи попадает другое сообщение.


Вернуться в «Оборудование PON»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 25 гостей