Kto zalogował się do moich drukarek?

22

1 kwietnia ktoś zalogował się do drukarek i zmienił gotowy ekran, aby „głosować na Josha” na wielu drukarkach HP LaserJet. Wiem, że musieli zalogować się przez telnet. I znalazłem ten artykuł o tym, jak przeprowadzić tę działalność: http://blog.mbcharbonneau.com/2007/01/22/change-the-status-message-of-a-hp-laserjet-printer/ Zastanawiam się , jak mogę dowiedzieć się, kto dopuścił się tego psot? Czy telnet HP na drukarkach prowadzi dziennik dostępu? Jeśli tak, jak mogę uzyskać do niego dostęp?

wprowadź opis zdjęcia tutaj

AKTUALIZACJA: O, hej, zagłosuj dziś na Josha, ale konfiguracja telnet jest wyłączona, a hasło administratora ustawione przeze mnie zostało usunięte? Jak mogę zablokować ten BS?

AKTUALIZACJA: Zaktualizowałem oprogramowanie układowe stąd: ale komunikat nadal pojawia się po powrocie. Nie mogę się tego pozbyć.

command-line telnet hp-laserjet j0h
źródło
3
Jedno z bardziej zabawnych pytań, które widziałem od dłuższego czasu… Mam nadzieję, że zrozumiałeś to! PS Zapytaj Josha, czy to zrobił.
Steve Meisner
16
Wygląda na to, że to był Josh.
3
Ciekawy. Mamy też kilka urządzeń LaserJet wyświetlających dziś rano „Głosuj na Josha”. Nasz menedżer serwera wydruku nazywa się Josh, ale zaprzecza jego zaangażowaniu i po zobaczeniu tego postu jestem skłonny mu uwierzyć. Które numery modeli mają na ciebie wpływ? Mamy to na P4015. Każda szansa, że ​​to był atak (wszystkie trzy drukarki, które widziałem, mają zewnętrzne NAT). A może sprytny Inżynier HP 4/1 Timebomb?
2
Widziałem to samo w Kyocera, który ma również port 9100 udostępniony do drukowania RAW, więc jest to zdecydowanie nowe narzędzie automatyczne. Zamierzam tylko ograniczyć dostęp do 9100 z / 16 zewnętrznej firmy, z którą współpracujemy, z potrzebą wydrukowania.
George
2
Wow, to jest stary exploit. Zaktualizuj oprogramowanie wewnętrzne.
Keltari

Odpowiedzi:

4

Jeśli wszystkie drukarki działają na scentralizowanym serwerze druku HP jetdirect, być może dzienniki są zależne od konfiguracji tego serwera. skontaktuj się z kimkolwiek, kto obsługuje to urządzenie.

Z moich własnych badań wynika, że ​​nie ma „dzienników dostępu” na drukarkach i nie ma możliwości ich śledzenia, chyba że twoja sieć rejestruje jakieś dane. Jeśli twoje drukarki są skonfigurowane indywidualnie, jak w większości przypadków, tak naprawdę nie masz nic.

To jednak interesujący punkt! Wiem, że drukarki z Western Kentucky University i Northern Michigan University wyświetlają ten komunikat. Z innych komentarzy wynika, że ​​więcej osób tego doświadcza.

To nie mem, o którym wiem i nie ma prawdziwego związku między dotkniętymi obszarami. Wskazuje to na pewien rodzaj zautomatyzowanego procesu. Prawdopodobnie taki, który spamuje porty telnet, mając nadzieję na znalezienie niechronionej drukarki.

Chodzi mi o to, że nie masz konkretnego dowcipnisia do polowania, ale wirusa / robaka, który mógł zainfekować wiele maszyn. Sądzę, że to jakiś dowcip prima aprilis. Wiem, że przynajmniej niektóre z tych drukarek były za NATem, więc sensowne jest, że polecenia pochodziły z sieci, a biorąc pod uwagę stosunkowo szeroki obszar działania, musi to być albo grupa skoordynowanych osób, które robią coś całkowicie szalonego lub to program.

Travis Clark
źródło
napisałem skrypt monitorujący, w powłoce, Wygląda na to, że dostałem ponownie około 3 kwietnia 21:09:24 EDT 2014. Mam nadzieję, że faceci z sieci mogą to naprawić, jeśli mogę podać znacznik czasu.
j0h
1
Informacje o wiadomości: tekst jest odniesieniem do samochodu nascar sponsorowanego przez społeczność cyfrowej waluty na stronie www.reddit.com/r/dogecoin. Chcieli, aby wygrał Josh Wise (który prowadził samochód), ponieważ jest to jeden niedorzeczny samochód.
Tek