Элтекс

Здравствуйте!
Сообщения в логах такие:

Jul 3 19:24:13 olt sshd: auth.c:getpwnamallow: lost login name: MikroTik
Jul 3 19:24:20 olt sshd: auth.c:getpwnamallow: lost login name: profile1
Jul 3 19:24:27 olt sshd: auth.c:getpwnamallow: lost login name: profile1

Понятно, что заражен один из компов в vlan управления. Там их не много, нашли.
Но было бы неплохо, чтобы писало в логах MAC и IP этого компа, как делает тот же d-link на свичах.

Добрый день,

В логах должны быть сообщения к примеру

Jan 22 23:26:59 LTP-8X sshd: Permission denied for admin from 192.168.11.20

У вас таких нет? какая версия софта?

Софт 3.38, более новый пока не пробовали.

Код: Выделить всё

# show logging 
    Log:
        Remote syslog:                                 192.168.1.1
        Port:                                          514
        Size:                                          16384
        Origin-id:
            Type:                                      ip
        Save logs between boots:                       false
        Log input commands:                            false
        Destinations:
            System:                                    debug
            Console:                                   critical
            Remote shells:                             info
            File:                                      none

# show running-config logging 
configure terminal
logging remote "192.168.1.1"
logging system loglevel "debug"
logging rsh loglevel "info"
logging file loglevel "none"
logging module pmchal-olt loglevel "info"
logging module pmchal-gpon-port loglevel "info"
exit
commit

Что-то нужно включить дополнительно?

А где вы хотите увидеть данные сообщения в логах OLT (по команде show log ltp) или на удаленном сервере сислог у вас он указан 192.168.1.1?

Да хотелось бы где угодно, хоть в консоли, хоть в syslog.
в syslog такое:

Код: Выделить всё

Aug 12 20:44:28 192.168.1.2 sshd: auth.c:getpwnamallow: lost login name: profile1
Aug 12 20:45:00 192.168.1.2 last message repeated 5 times
Aug 12 20:45:21 192.168.1.2 last message repeated 2 times
Aug 12 20:45:21 192.168.1.2 sshd: auth.c:getpwnamallow: lost login name: user1
Aug 12 20:45:54 192.168.1.2 last message repeated 5 times
Aug 12 20:46:48 192.168.1.2 last message repeated 8 times

Единственный вариант, когда видно ip - вот такой:

Код: Выделить всё

Aug 12 20:35:23 192.168.1.2 sshd: Did not receive identification string from 192.168.162.222

Но как я понимаю это только в случае, если ssh сессия оборвалась на этапе ввода пароля, такого может и вообще не быть.
Таких строк, как вы указали - нет. Возможно бот как-то по-другому, с нарушением протокола, подбирает пароль и в логи попадает другое сообщение.

Элтекс

Подбирают пароль на LTP - как узнать кто?

Подбирают пароль на LTP - как узнать кто?

Re: Подбирают пароль на LTP - как узнать кто?

Re: Подбирают пароль на LTP - как узнать кто?

Re: Подбирают пароль на LTP - как узнать кто?

Re: Подбирают пароль на LTP - как узнать кто?