Всем привет!
На одном из объектов видеорегистратор «PVDR-08WDL2 rev.F» (дата производства: 03.11.2016, прошивка prntscr.com/kaqr69, производитель "Hangzhou Xiongmai Technology") произвёл непонятные действия. В обед при попытке просмотреть видео удалённо через CMS выдала ошибку «Неверный пароль» у админовской учётки (был запаролен ранее). В настройках подключения убрали пароль и вуаля — зашли в устройство. Скачав логи текстовым файлом, увидели что они следующее пишутся только последние два дня, и утром имеется интересный кусок (этот кусок отправлял коллеге по электронной почте, сам файл удалил):
0125 24-07-2018 09:27:41 Выход admin<Mobile: хх.zz.yy.ii>
0126 24-07-2018 09:28:18 Вход admin<Mobile: хх.zz.yy.ii>
0127 24-07-2018 09:29:30 Выход admin<Mobile: хх.zz.yy.ii>
0128 24-07-2018 09:53:48 Перезагрузка 2018- 7-24 09:52:14
0129 24-07-2018 09:53:48 Восстановление уч. записи Авто
0130 24-07-2018 09:53:48 Вход default0131 24-07-2018 11:45:09 Вход admin<Web:85.114.21.234>
0132 24-07-2018 12:10:22 Выход admin<Web:85.114.21.234>
0133 24-07-2018 13:51:13 Вход Имя пользователя или пароль ошибке admin<Mobile:rr.mm.qq.pp,203>
0134 24-07-2018 13:54:16 Вход Имя пользователя или пароль ошибке admin<Mobile:rr.mm.qq.pp,203>
На пустом месте видеорегистратор ушёл в перезагрузку и успешно провёл команду «Восстановление уч. записи Авто». Потом какой то хер 85.114.21.234 подключился к устройству и успешно полчаса отработал (у наших пользователей везде были прописаны пароли к админке)!!! Сразу же поменяли пароль на админовской учётке.
На следующий день приступили к разбору полётов. Проверили настройки видеорегистратора — отклонений не нашли (облако отключено). Перезагрузили устройство. Скачали файл с логами и вуаля — в файле отсутствуют записи начиная от 24-07-2018 09:29:30 и моментом сегодняшней перезагрузки на 2018- 7-24 09:52:14.
2032 24-07-2018 09:27:41 Выход admin<Mobile: хх.zz.yy.ii>
2033 24-07-2018 09:28:18 Вход admin<Mobile: хх.zz.yy.ii>
2034 24-07-2018 09:29:30 Выход admin<Mobile: хх.zz.yy.ii>
2035 25-07-2018 13:52:52 Сохранить состояние системы 2018- 7-24 09:52:14
2036 25-07-2018 13:52:52 Вход default2037 25-07-2018 13:53:39 Нет потока 1 (enc)
2038 25-07-2018 13:53:45 Нет потока 4 (enc)
2039 25-07-2018 13:54:15 Нет потока 5 (enc)
2040 25-07-2018 13:54:15 Вход admin<Web:gg.ff.dd.aa>
Что это было?
Глючит устройство?
Очередные провалы в безопасности прошивок?
Восстановление уч. записи Авто
Re: Восстановление уч. записи Авто
Хотелось бы версию прошивки увидеть.koks писал(а):Всем привет!
На одном из объектов видеорегистратор «PVDR-08WDL2 rev.F» (дата производства: 03.11.2016, прошивка prntscr.com/kaqr69, производитель "Hangzhou Xiongmai Technology") произвёл непонятные действия. В обед при попытке просмотреть видео удалённо через CMS выдала ошибку «Неверный пароль» у админовской учётки (был запаролен ранее). В настройках подключения убрали пароль и вуаля — зашли в устройство. Скачав логи текстовым файлом, увидели что они следующее пишутся только последние два дня, и утром имеется интересный кусок (этот кусок отправлял коллеге по электронной почте, сам файл удалил):
0125 24-07-2018 09:27:41 Выход admin<Mobile: хх.zz.yy.ii>
0126 24-07-2018 09:28:18 Вход admin<Mobile: хх.zz.yy.ii>
0127 24-07-2018 09:29:30 Выход admin<Mobile: хх.zz.yy.ii>
0128 24-07-2018 09:53:48 Перезагрузка 2018- 7-24 09:52:14
0129 24-07-2018 09:53:48 Восстановление уч. записи Авто
0130 24-07-2018 09:53:48 Вход default0131 24-07-2018 11:45:09 Вход admin<Web:85.114.21.234>
0132 24-07-2018 12:10:22 Выход admin<Web:85.114.21.234>
0133 24-07-2018 13:51:13 Вход Имя пользователя или пароль ошибке admin<Mobile:rr.mm.qq.pp,203>
0134 24-07-2018 13:54:16 Вход Имя пользователя или пароль ошибке admin<Mobile:rr.mm.qq.pp,203>
На пустом месте видеорегистратор ушёл в перезагрузку и успешно провёл команду «Восстановление уч. записи Авто». Потом какой то хер 85.114.21.234 подключился к устройству и успешно полчаса отработал (у наших пользователей везде были прописаны пароли к админке)!!! Сразу же поменяли пароль на админовской учётке.
На следующий день приступили к разбору полётов. Проверили настройки видеорегистратора — отклонений не нашли (облако отключено). Перезагрузили устройство. Скачали файл с логами и вуаля — в файле отсутствуют записи начиная от 24-07-2018 09:29:30 и моментом сегодняшней перезагрузки на 2018- 7-24 09:52:14.
2032 24-07-2018 09:27:41 Выход admin<Mobile: хх.zz.yy.ii>
2033 24-07-2018 09:28:18 Вход admin<Mobile: хх.zz.yy.ii>
2034 24-07-2018 09:29:30 Выход admin<Mobile: хх.zz.yy.ii>
2035 25-07-2018 13:52:52 Сохранить состояние системы 2018- 7-24 09:52:14
2036 25-07-2018 13:52:52 Вход default2037 25-07-2018 13:53:39 Нет потока 1 (enc)
2038 25-07-2018 13:53:45 Нет потока 4 (enc)
2039 25-07-2018 13:54:15 Нет потока 5 (enc)
2040 25-07-2018 13:54:15 Вход admin<Web:gg.ff.dd.aa>
Что это было?
Глючит устройство?
Очередные провалы в безопасности прошивок?
-
kROOT
- Специалист
- Сообщения: 13485
- Зарегистрирован: 02 сен 2013, 14:25
- Откуда: youcam.pro
- Контактная информация:
Re: Восстановление уч. записи Авто
может ошибка контрольной суммы на флэше и рег решил произвести сброс настроек с перезагрузкой.
Re: Восстановление уч. записи Авто
AlienP666 "Хотелось бы версию прошивки увидеть." - Прошивка указана на скриншоте prntscr.com/kaqr69
kROOT "может ошибка контрольной суммы на флэше" - Заметили за этим видеорегистратором некоторое "подвисание". Как это точно можно определить?
kROOT "может ошибка контрольной суммы на флэше" - Заметили за этим видеорегистратором некоторое "подвисание". Как это точно можно определить?
-
kROOT
- Специалист
- Сообщения: 13485
- Зарегистрирован: 02 сен 2013, 14:25
- Откуда: youcam.pro
- Контактная информация:
Re: Восстановление уч. записи Авто
Наверно никак. Можно конечно попробовать перепаять флэш сделав дубль на новую. Можно подождать, отследить тенденцию. Если объект серьезный и записи очень важны, то быстрее меняйте рег.koks писал(а):kROOT "может ошибка контрольной суммы на флэше" - Заметили за этим видеорегистратором некоторое "подвисание". Как это точно можно определить?
Re: Восстановление уч. записи Авто
Попробуйте для начала обновится качать и обязательно после обновления сброс всех настроек.koks писал(а):AlienP666 "Хотелось бы версию прошивки увидеть." - Прошивка указана на скриншоте prntscr.com/kaqr69
kROOT "может ошибка контрольной суммы на флэше" - Заметили за этим видеорегистратором некоторое "подвисание". Как это точно можно определить?
Re: Восстановление уч. записи Авто
Завтра будем на объекте и попробуем обновить прошивку с последующим сбросом настроекAlienP666 писал(а):Попробуйте для начала обновится качать и обязательно после обновления сброс всех настроек.koks писал(а):AlienP666 "Хотелось бы версию прошивки увидеть." - Прошивка указана на скриншоте prntscr.com/kaqr69
kROOT "может ошибка контрольной суммы на флэше" - Заметили за этим видеорегистратором некоторое "подвисание". Как это точно можно определить?
Re: Восстановление уч. записи Авто
К сожалению бывает часто, что криво встает прошивка и порой даже обновление на ту же версию исправляет косяки.koks писал(а):Завтра будем на объекте и попробуем обновить прошивку с последующим сбросом настроек
Re: Восстановление уч. записи Авто
Обновил прошивку, сбросил полностью все настройки. Будем наблюдать за этим объектом.
-
sergvl
- Специалист
- Сообщения: 1383
- Зарегистрирован: 18 янв 2016, 14:09
- Откуда: 符拉迪沃斯托克
- Контактная информация:
Re: Восстановление уч. записи Авто
Это хакер какой то пытается получить доступ к регу. IP адрес 85.114.21.234 это тот с которого у меня на нескольких регистраторах пытались получить доступ.
Работает он только по IP.
Добавь в чёрный список IP адреса, на сегодня список увеличился.
2.63.121.175
5.228.121.103
46.33.35.15
46.147.226.137
54.254.133.81
85.114.21.234
89.169.173.52
90.155.233.24
91.105.235.96
91.211.57.118
93.170.115.254
93.91.116.201
94.45.214.32
95.66.164.5
95.154.101.209
107.152.104.191
172.98.87.83
176.215.83.249
178.34.162.174
178.72.70.172
178.72.68.183
178.72.68.216
178.72.70.74
185.186.78.21
185.186.78.64
185.186.78.18
188.163.3.215
212.34.229.150
213.141.155.95
Работает он только по IP.
Добавь в чёрный список IP адреса, на сегодня список увеличился.
2.63.121.175
5.228.121.103
46.33.35.15
46.147.226.137
54.254.133.81
85.114.21.234
89.169.173.52
90.155.233.24
91.105.235.96
91.211.57.118
93.170.115.254
93.91.116.201
94.45.214.32
95.66.164.5
95.154.101.209
107.152.104.191
172.98.87.83
176.215.83.249
178.34.162.174
178.72.70.172
178.72.68.183
178.72.68.216
178.72.70.74
185.186.78.21
185.186.78.64
185.186.78.18
188.163.3.215
212.34.229.150
213.141.155.95
Re: Восстановление уч. записи Авто
Добавление в чёрный список большой результата не приведёт (но сами тоже добавляем эти адреса). Необходимо менять внешний порт на отличный от 34567. У нас на объектах где 34567 в последнее время в логах видим нездоровую тенденцию на увеличении попыток подбора пороля. На одном объекте порт 34568 - никто даже не пробовал подобрать пароль.sergvl писал(а):Это хакер какой то пытается получить доступ к регу. IP адрес 85.114.21.234 это тот с которого у меня на нескольких регистраторах пытались получить доступ.
Работает он только по IP.
Добавь в чёрный список IP адреса, на сегодня список увеличился.
2.63.121.175
5.228.121.103
46.33.35.15
46.147.226.137
54.254.133.81
85.114.21.234
89.169.173.52
90.155.233.24
91.105.235.96
91.211.57.118
93.170.115.254
93.91.116.201
94.45.214.32
95.66.164.5
95.154.101.209
107.152.104.191
172.98.87.83
176.215.83.249
178.34.162.174
178.72.70.172
178.72.68.183
178.72.68.216
178.72.70.74
185.186.78.21
185.186.78.64
185.186.78.18
188.163.3.215
212.34.229.150
213.141.155.95
