Mamy małe biuro i po sprawdzeniu logów routera zauważyłem, że pewna liczba komputerów zażądała adresu IP od routera biurowego poza godzinami pracy.
Oto dane wyjściowe pliku dziennika:
188 2016-11-18 06:50:58 DHCPD Notice Send ACK to 192.168.1.101
189 2016-11-18 06:50:58 DHCPD Notice Recv REQUEST from F8:0F:41:D0:4C:FB
190 2016-11-18 06:50:58 DHCPD Notice Send OFFER with ip 192.168.1.101
191 2016-11-18 06:50:58 DHCPD Notice Recv DISCOVER from F8:0F:41:D0:4C:FB
192 2016-11-18 06:41:40 DHCPD Notice Send ACK to 192.168.1.131
193 2016-11-18 06:41:40 DHCPD Notice Recv REQUEST from 64:EB:8C:53:D8:6E
194 2016-11-18 04:45:00 DHCPD Notice Send ACK to 192.168.1.143
195 2016-11-18 04:45:00 DHCPD Notice Recv REQUEST from 98:EE:CB:03:B8:69
196 2016-11-18 03:58:28 DHCPD Notice Send ACK to 192.168.1.143
197 2016-11-18 03:58:28 DHCPD Notice Recv REQUEST from 98:EE:CB:03:B8:69
198 2016-11-18 03:40:30 DHCPD Notice Send ACK to 192.168.1.111
199 2016-11-18 03:40:29 DHCPD Notice Recv REQUEST from F8:0F:41:D0:4D:6E
200 2016-11-18 02:33:52 DHCPD Notice Send ACK to 192.168.1.127
201 2016-11-18 02:33:52 DHCPD Notice Recv REQUEST from FC:3F:DB:21:34:E2
Pracownicy wyłączają komputery po zakończeniu pracy. Potwierdziłem, że wszystkie zarejestrowane adresy MAC oprócz dwóch należą do komputerów w naszym biurze.
Niedawno mieliśmy naruszenie bezpieczeństwa. Resetujemy router, wszystkie hasła administratora i hasła Wi-Fi.
Czy to możliwe, że komputery te włączają się poza godzinami pracy i udostępniają się osobom spoza naszej sieci?
źródło