紧急求助,华为AR路由器被日本IP黑了。。

[复制链接]
发表于 : 2018-5-31 20:07:59 最新回复:2018-06-13 11:44:58
1388 22
摩玄风    

  求助帖: (已解决)
本帖最后由 摩玄风 于 2018-5-31 20:07 编辑

20180531195058292.jpg


今天查看我的路由器AR1220C ,发现管理员有3个在线,打开一看有两个用户名不是我建的,于是强制下线它们,发现有一个下线不了。如上图显示的,这是我强制下线后的,用户名称变化了,IP是日本的。由于是开启了Telnet被登录了的,于是关闭了telnet它们就消失了。我查看了系统日志,有其他IP扫描过,我把日志也下载保存了。

想问下,这个是怎么被黑的?开启Telnet就被黑了,利用的什么漏洞?怎么防御?华为的出来看看。。路由版本:

20180531200358257.png


附件有日志文件,谁帮我看下怎么被黑的?



附件: 您需要 登录 才可以下载或查看,没有帐号?注册
  • x
  • 常规:

点评 回复

跳转到指定楼层
woaibai  新锐   发表于 2018-6-1 17:17:02 已赞(2) 赞(2)

没有登录进入,
您打开我们的登录界面,设备就会记录您的信息,实际并没有进入设备,只是打开了登录界面
这个您可以自己测试都是可以的
这个现象也可通过日志看到,日志显示这个用户登录设备失败。
要管理这个登录,有两个办法,1 关闭telnet服务 2 修改telnet端口号。
关闭服务操作比较简单:“系统管理 > 系统配置 > 服务管理”这个位置关闭就可以了
  • x
  • 常规:

点评 回复

摩玄风     发表于 2018-5-31 20:09:00 已赞(0) 赞(0)

来几个安全的牛牛看看
  • x
  • 常规:

点评 回复

撒么  版主   发表于 2018-5-31 21:09:11 已赞(0) 赞(0)

写个ACL 就行
  • x
  • 常规:

点评 回复

xianda  导师   发表于 2018-5-31 21:56:54 已赞(0) 赞(0)

跟你普及几个事情啊:
1. 你如果有公网IP ,基本上上线几个钟肯定有扫描的,必须的啊
2. 被黑大部分是你的弱密码导致的问题,多次尝试暴力破解
3.来自XX 的IP 多是修改了IP 而已,可能只是来自一个VPC ,或者改IP器,这个来自哪里没事情的

防御:
1.强密码
2.关闭公网端口的Telnet跟HTTP 、SSH 的远程访问
  • x
  • 常规:

点评 回复

摩玄风     发表于 2018-6-1 10:57:03 已赞(0) 赞(0)

xianda 发表于 2018-5-31 21:56 跟你普及几个事情啊:1. 你如果有公网IP ,基本上上线几个钟肯定有扫描的,必须的啊2. 被黑大部分是你的弱 ...
1:我建立的用户密码都是符合华为高强度的复杂密码,华为是5次密码错误就拒绝连接一个时段,你说的这些都不是重点。
2:公网的Telnet,http.ssh,都是正常管理需求,如果什么都关闭,干脆不用算了。。
3:我想要的重点是怎么修补防御漏洞,而不是回避这个漏洞的方式,身为科技领头的华为不能这样忽视这个安全问题。
  • x
  • 常规:

点评 回复

vivensa  新锐   发表于 2018-6-1 11:11:04 已赞(0) 赞(0)

摩玄风 发表于 2018-6-1 10:57 1:我建立的用户密码都是符合华为高强度的复杂密码,华为是5次密码错误就拒绝连接一个时段,你说的这些都 ...
把telnet 的协议关了,ssh 如果想用的话把端口改了,端口改大一点。
  • x
  • 常规:

点评 回复

vivensa  新锐   发表于 2018-6-1 11:13:09 已赞(0) 赞(0)

摩玄风 发表于 2018-6-1 10:57 1:我建立的用户密码都是符合华为高强度的复杂密码,华为是5次密码错误就拒绝连接一个时段,你说的这些都 ...
这个跟华为不华为没关系,友商的设备你这样配挂公网上也会很多攻击的
  • x
  • 常规:

点评 回复

cici10235  新锐   发表于 2018-6-1 12:31:29 已赞(0) 赞(0)

1.建议更改一下telnet端口,
2.建议开启vpn,在外地的时候通过vpn接入之后再连接设备,不建议直接远程公网端口,
3.写acl指定IP或者mac地址访问
  • x
  • 常规:

点评 回复

摩玄风     发表于 2018-6-1 16:19:09 已赞(0) 赞(0)

cici10235 发表于 2018-6-1 12:31 1.建议更改一下telnet端口,2.建议开启vpn,在外地的时候通过vpn接入之后再连接设备,不建议直接远程公网端 ...
我希望关注的是怎么攻破利用漏洞的,而不是回避漏洞绕过去,有漏洞始终是隐患
  • x
  • 常规:

点评 回复

cici10235  新锐   发表于 2018-6-1 16:54:33 已赞(0) 赞(0)

本帖最后由 cici10235 于 2018-6-1 17:29 编辑
摩玄风 发表于 2018-6-1 16:19我希望关注的是怎么攻破利用漏洞的,而不是回避漏洞绕过去,有漏洞始终是隐患 ...

看了一下你的日志,大部分都是被爆破的日志,并且都是登陆失败,本身并没有发现有漏洞被利用
还是那句话建议更改默认端口,或者关闭外网端口映射或者采用vpn等安全连接
请保持对设备日志的关注,你的设备有大量的爆破日志,这不是你一个人有的,几乎每一个有静态IP地址还把外网映射外网都会出现这个问题。
我以前也遇到过,但是我遇到的只发生在爆破阶段还没有爆破掉密码,所以请自行做好相关防御策略吧
  • x
  • 常规:

点评 回复

摩玄风 发表于 2018-6-1 18:22
3Q  
123
返回列表
发表回复
您需要登录后才可以回帖 登录 | 注册

如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
快速回复 返回顶部