Kto zalogował się do moich drukarek?

1 kwietnia ktoś zalogował się do drukarek i zmienił gotowy ekran, aby „głosować na Josha” na wielu drukarkach HP LaserJet. Wiem, że musieli zalogować się przez telnet. I znalazłem ten artykuł o tym, jak przeprowadzić tę działalność: http://blog.mbcharbonneau.com/2007/01/22/change-the-status-message-of-a-hp-laserjet-printer/ Zastanawiam się , jak mogę dowiedzieć się, kto dopuścił się tego psot? Czy telnet HP na drukarkach prowadzi dziennik dostępu? Jeśli tak, jak mogę uzyskać do niego dostęp?

wprowadź opis zdjęcia tutaj

AKTUALIZACJA: O, hej, zagłosuj dziś na Josha, ale konfiguracja telnet jest wyłączona, a hasło administratora ustawione przeze mnie zostało usunięte? Jak mogę zablokować ten BS?

AKTUALIZACJA: Zaktualizowałem oprogramowanie układowe stąd: ale komunikat nadal pojawia się po powrocie. Nie mogę się tego pozbyć.

command-line telnet hp-laserjet

— j0h
źródło

Jedno z bardziej zabawnych pytań, które widziałem od dłuższego czasu… Mam nadzieję, że zrozumiałeś to! PS Zapytaj Josha, czy to zrobił.

— Steve Meisner

Wygląda na to, że to był Josh.

Ciekawy. Mamy też kilka urządzeń LaserJet wyświetlających dziś rano „Głosuj na Josha”. Nasz menedżer serwera wydruku nazywa się Josh, ale zaprzecza jego zaangażowaniu i po zobaczeniu tego postu jestem skłonny mu uwierzyć. Które numery modeli mają na ciebie wpływ? Mamy to na P4015. Każda szansa, że to był atak (wszystkie trzy drukarki, które widziałem, mają zewnętrzne NAT). A może sprytny Inżynier HP 4/1 Timebomb?

Widziałem to samo w Kyocera, który ma również port 9100 udostępniony do drukowania RAW, więc jest to zdecydowanie nowe narzędzie automatyczne. Zamierzam tylko ograniczyć dostęp do 9100 z / 16 zewnętrznej firmy, z którą współpracujemy, z potrzebą wydrukowania.

— George

Wow, to jest stary exploit. Zaktualizuj oprogramowanie wewnętrzne.

— Keltari

Jeśli wszystkie drukarki działają na scentralizowanym serwerze druku HP jetdirect, być może dzienniki są zależne od konfiguracji tego serwera. skontaktuj się z kimkolwiek, kto obsługuje to urządzenie.

Z moich własnych badań wynika, że nie ma „dzienników dostępu” na drukarkach i nie ma możliwości ich śledzenia, chyba że twoja sieć rejestruje jakieś dane. Jeśli twoje drukarki są skonfigurowane indywidualnie, jak w większości przypadków, tak naprawdę nie masz nic.

To jednak interesujący punkt! Wiem, że drukarki z Western Kentucky University i Northern Michigan University wyświetlają ten komunikat. Z innych komentarzy wynika, że więcej osób tego doświadcza.

To nie mem, o którym wiem i nie ma prawdziwego związku między dotkniętymi obszarami. Wskazuje to na pewien rodzaj zautomatyzowanego procesu. Prawdopodobnie taki, który spamuje porty telnet, mając nadzieję na znalezienie niechronionej drukarki.

Chodzi mi o to, że nie masz konkretnego dowcipnisia do polowania, ale wirusa / robaka, który mógł zainfekować wiele maszyn. Sądzę, że to jakiś dowcip prima aprilis. Wiem, że przynajmniej niektóre z tych drukarek były za NATem, więc sensowne jest, że polecenia pochodziły z sieci, a biorąc pod uwagę stosunkowo szeroki obszar działania, musi to być albo grupa skoordynowanych osób, które robią coś całkowicie szalonego lub to program.

— Travis Clark
źródło

napisałem skrypt monitorujący, w powłoce, Wygląda na to, że dostałem ponownie około 3 kwietnia 21:09:24 EDT 2014. Mam nadzieję, że faceci z sieci mogą to naprawić, jeśli mogę podać znacznik czasu.

— j0h

Informacje o wiadomości: tekst jest odniesieniem do samochodu nascar sponsorowanego przez społeczność cyfrowej waluty na stronie www.reddit.com/r/dogecoin. Chcieli, aby wygrał Josh Wise (który prowadził samochód), ponieważ jest to jeden niedorzeczny samochód.

— Tek