forum.lissyara.su

Всем привет!
Имеется Cisco S3550.
Захожу на нее, и для аутентификации, вместо Username и Password (которые были настроены для входа на свитч), меня ожидало только Password (правда не измененный).
Вызванное удивление заставило посмотреть команду где увидел что на vty 0 4 метод login не был local. Получается оставили себе бэкдор.
А команда выявила 2 соединения с ипишниками которые принадлижат китайцам (IP Locator подсказал )

С цисками начал не давно дружить.
ВОПРОС:
Как они смогли вторгатся и обойти авторизацию?
Хотелось бы знать для того чтоб предотвратить такие казусы на будущее.
Заранее вам благодарен

Мое почтение,прошу прощение за флуд
А может все было немного проще ?
После настройки аутентификации вы забыли записать конфигурацию и после перезагрузки свича все осталось как прежде ? Это как предположение
Вобще гадать как оно там получилось можно долго и нудно,настройте логирование в syslog и в консоль и проверьте еще раз настройки аутентификации и авторизации пользователя
Так же настройте доступ к консоли с определенных адресов что бы избежать подобного.
А вобще вот вам интересная статья на заметку http://blogs.iss.net/archive/blackhatlitalk.html

DenisKh писал(а):Мое почтение,прошу прощение за флуд
А может все было немного проще ?
После настройки аутентификации вы забыли записать конфигурацию и после перезагрузки свича все осталось как прежде ? Это как предположение

Никак нет.
Для избежание подобного просто создал ACL.

Схему бы подключения. Хотелось бы посмотреть, что свич делает в диком инете.
По какойму протоколу подключаетесь? Надеюсь SSH? Какие сервисы включены на свиче? Проверь ПК на трой.
Кинь конфиг посмотреть.
ЗЫ. IP возможно левые.