Массовая проблема с китайскими IP камерами с портом 34567

[Pauk_]

имел ввиду с китайскими камерами и их облаком

[sergvl]

Последнее время участились попытки подбора пароля к регистраторам ХМ. При проверке логов регистраторов обнаружил следующее,
Ошибка имени пользователя admin<Web:95.154.101.209,203
Ошибка имени пользователя 555555<Web:95.154.101.209,205
Ошибка имени пользователя 666666<Web:95.154.101.209,205
Ошибка имени пользователя 888888<Web:95.154.101.209,205
Ошибка имени пользователя user<Web:95.154.101.209,205
Ошибка имени пользователя guard<Web:95.154.101.209,205
Ошибка имени пользователя operator<Web:95.154.101.209,205
Ошибка имени пользователя administrator<Web:95.154.101.209,205 и так далее.
После отключения облака и перехода только на внешний IP с изменение порта атаки не прекратились.
Пришлось применить фильтр (чёрный список), на сегодняшний день атак стало меньше но и список адресов увеличился.
2.63.121.175
5.228.121.103
54.254.133.81
85.114.21.234
89.169.173.52
91.105.235.96
91.211.57.118
93.170.115.254
93.91.116.201
94.45.214.32
95.66.164.5
95.154.101.209
176.215.83.249
178.72.68.183
178.72.68.216
185.186.78.21
185.186.78.64
185.186.78.18
188.163.3.215
212.34.229.150
213.141.155.95
С этих адресов идут атаки и атаки идут только на регистраторы с внешним IP адресом.

[AlexLider]

Есть такая картина. Некоторые IP-шники из списка знакомы.
В основном пытались перебрать пароли, в единичном случае - логины. Попытки доступа были, как с внешним IP-шником, так и с облаком.

Похоже атакуют регистраторы с определенными прошивками, имеющих известные уязвимости. В более современных регистраторах и новых прошивках уже предусмотрена защита от перебора логина-пароля.

[sergvl]

Есть такая картина. Некоторые IP-шники из списка знакомы.
В основном пытались перебрать пароли, в единичном случае - логины. Попытки доступа были, как с внешним IP-шником, так и с облаком.

Похоже атакуют регистраторы с определенными прошивками, имеющих известные уязвимости. В более современных регистраторах и новых прошивках уже предусмотрена защита от перебора логина-пароля.

Да. на новых после 3х попыток происходит блокировка.

[AlexLider]

Да. на новых после 3х попыток происходит блокировка.

Вот пожалуйста:
07-06-2018 19:05:02 Вход Имя пользователя или пароль ошибке admin<Web:89.169.173.52,203>
07-06-2018 19:05:02 Вход Имя пользователя или пароль ошибке admin<Web:89.169.173.52,203>
07-06-2018 19:05:03 Вход Имя пользователя или пароль ошибке admin<Web:89.169.173.52,203>
07-06-2018 19:05:03 Вход Имя пользователя или пароль ошибке admin<Web:89.169.173.52,203>
07-06-2018 19:05:03 Вход Имя пользователя или пароль ошибке user<Web:89.169.173.52,205>
07-06-2018 19:05:03 Вход Имя пользователя или пароль ошибке user<Web:89.169.173.52,205>
07-06-2018 19:05:03 Вход Имя пользователя или пароль ошибке user<Web:89.169.173.52,205>
07-06-2018 19:05:04 Вход Имя пользователя или пароль ошибке user<Web:89.169.173.52,205>
07-06-2018 19:05:04 Вход Имя пользователя или пароль ошибке guest<Web:89.169.173.52,205>
07-06-2018 19:05:04 Вход Имя пользователя или пароль ошибке guest<Web:89.169.173.52,205>
07-06-2018 19:05:04 Вход Имя пользователя или пароль ошибке guest<Web:89.169.173.52,205>
07-06-2018 19:05:04 Вход Имя пользователя или пароль ошибке guest<Web:89.169.173.52,205>

А это уже после обновления прошивки:

08-06-2018 11:04:51 Вход Имя пользователя или пароль ошибке admin<Web:89.169.173.52,203>
08-06-2018 11:04:51 Вход Имя пользователя или пароль ошибке admin<Web:89.169.173.52,203>
08-06-2018 11:04:51 Вход Имя пользователя или пароль ошибке admin<Web:89.169.173.52,203>
08-06-2018 11:04:52 Вход Имя пользователя или пароль ошибке admin<Web:89.169.173.52,203>
08-06-2018 11:04:52 Вход Учетная запись заблокирована admin<Web:89.169.173.52,206>

Данный регистратор постоянно атакуется в начале каждого месяца, в связи с чем в обязательном порядке на всех объектах сделали резервные учетные записи для восстановления.

[GenaSPB]

сделали резервные учетные записи для восстановления.

Гы -гы

[AlexLider]

Гы -гы

Опыт приходит со временем. Проблема наблюдается всего на 6 регистраторах из более чем 400 контролируемых.
На остальных объектах сеть, регистраторы и камеры настроены по единым правилам, включая сетевые экраны:
1) Исключение IP-адресов камер и регистраторов из диапазона DHCP
2) Настройка внешних портов со значением +1 от штатных
3) Отключение неиспользуемых и потенциально опасных сетевых служб (RTSP, uPNP. Mobile Port)
4) Отключение подключения к облаку (при использовании IP-регистратора (для камер); при подключенной услуге Статический IP-адрес (для камер и регистраторов))
5) Установка паролей на встроенные учетные записи admin, guest, guard
6) Автоматическая блокировка IP-адресов атакующих по различным параметрам (кол-во запросов по определенному порту в сек., кол-во пинг-запросов в сек., защита от сканирования портов и т.д.)

Ну и новое правило:
7) Добавление резервной учетной записи с паролем на случай восстановления доступа.

5 из 6 регистраторов сидят на внешнем IP-шнике. Внешние порты совпадают с портами по умолчанию. Как итог - получаем головняк с перебором логинов-паролей извне. Еще на одном атаки "покосил" сетевой экран роутера MikroTik.

[AlexLider]

Господа! Продолжается штурм регистраторов и камер, выброшенных в Интернет с внешним IP-шником, с дефолтными портами и учетками.
Штурмуют методом брутфорса, т.е. простым перебором дефолтных логинов и паролей. Список заблокированных IP-шников пополняется ежедневно. Атаки идут с разной интенсивностью (в среднем по 10 запросов/сек.)
В целях противодействия операторам связи, кому подконтрольны IP-адреса, была разослана оперативная информация со списком IP-шников и временем атак.

[bulka58807]

Прекратился штурм?

[sergvl]

Нет, каждый день по немного, список увеличился
2.63.121.175
5.164.158.101
5.164.171.246
5.228.121.103
41.68.250.253
41.69.255.203
46.33.35.15
46.147.226.137
54.179.168.199
54.254.133.81
77.35.182.255
80.246.81.115
85.26.165.224
85.114.21.234
89.169.173.52
90.155.233.24
91.105.235.96
91.211.57.118
93.170.115.254
93.91.116.201
94.45.214.32
95.66.164.5
95.154.101.209
107.152.104.191
145.255.1.86
172.98.85.35
172.98.87.83
176.215.83.249
178.34.162.174
178.72.70.202
178.72.70.172
178.72.68.183
178.72.68.216
178.72.70.74
185.186.78.21
185.186.78.64
185.186.78.18
188.163.3.215
212.35.166.26
212.34.229.150
213.141.155.95

[AlexLider]

Штурмуют ежедневно, но уже не так интенсивно, как с начала июня.
P.S. Скажем спасибо за оперативность как минимум знакомому сотруднику из Эр-Телекома (бренд Дом.Ru). Ситуация держится на контроле. Ответов и реакции со стороны других провайдеров пока не последовало.

[tragic_audio]

Походу у Xiongmai снова проблемы: https://sec-consult.com/en/blog/2018/10 ... p2p-cloud/" onclick="window.open(this.href);return false;
Западные "коллеги" рекомендую вовсе отказаться от устройств на базе XM.