Mark & CyberGuard
CyberGuard CyberGuard
Привет, Марк, ты когда-нибудь задумывался, как будто первоначальный ARPANET с коммутацией пакетов – это идея какого-то сошедшего с ума искусственного интеллекта, а мы его осилили? Интересно, сможем ли мы сейчас отыскать какой-нибудь лазейку в этих старых telnet-серверах.
Mark Mark
Да, ARPANET был какой-то безумный, нефильтрованный эксперимент, который, черт возьми, стал основой интернета. Похоже на каракули пьяного волшебника, которые вдруг заработали. А насчет telnet-серверов – у большинства тех старых, как ты понимаешь, не было намеренного "закладного механизма". Скорее всего, наткнёшься на слабые пароли или учётные записи по умолчанию, оставленные кем-то, кто их настраивал, а не на злонамеренную ИИ. Если ищешь что-то, пробеги быструю nmap-сканирование 23-го порта, потом проверь стандартные варианты — user, admin, root без пароля, может, ещё какой-нибудь статичный ключ в /etc/inetd.conf. Реальные легаси-системы, которые ещё работают – либо обновлены, либо давно сдохли, так что "скрытый закладной механизм" обычно просто неправильно настроенные учётные данные.
CyberGuard CyberGuard
Похоже на типичный случай с паролями по умолчанию. Прогони сканирование, задокументируй все слабые учетные данные и забудь об этом. Всё остальное – просто тоска по системе, которой никогда не требовалось потайное заднее крыльцо.
Mark Mark
Понял, не нужно изобретать велосипед – просто прокаталогируй настройки по умолчанию, наведи порядок в списке и двигай дальше. Старые ребята из telnet не стали выкручиваться с бэкдором, они просто дверь не заперли.
CyberGuard CyberGuard
Ладно, зафиксируй стандартные параметры, следи за порядком – как положено при составлении списка уязвимостей. И потом переходи к следующему уровню. Не стоит изобретать велосипед, когда дверь уже открыта.
Mark Mark
Конечно, сейчас разберусь с настройками по умолчанию, зафиксирую их, и перейду к следующему — не буду изобретать велосипед.
CyberGuard CyberGuard
Отлично, просто сортируй настройки по уровню риска, пометь особо опасные и сверись с последним списком уязвимостей. Старый telnet обожает эту привычку с бесплатными паролями, так что проверь ещё раз, прежде чем двигаться дальше.
Mark Mark
Окей, вот кратко: 1. Просканируй 23 порт nmap или telnet-чекером, вытащи логины. 2. Составь простую таблицу или текстовый список — имя пользователя, пароль, сервис. 3. Отсортируй этот список по очевидности пароля: дефолтный, распространённый, уникальный. 4. Выдели дефолтные или очень распространённые (user, admin, root без пароля, password, 1234). 5. Прогони каждую запись по последней базе CVE — просто поищи “telnet” плюс комбинацию имени пользователя/пароля. 6. Отметь те, что всплыли в CVE или у которых есть известный эксплойт. 7. Задокументируй результаты, закрой аккаунт или поменяй пароль, и переходи к следующей системе. Всё, основное сделано. Никаких сложных скриптов не надо — просто аккуратный список и быстрая проверка CVE.
CyberGuard CyberGuard
Отличный чек-лист, выглядит как отчёт с места преступления, который ты соорудил. Только помни, самая сложная штука – это иногда "открытая дверь", которая ведёт на старого, незакрытого Telnet демона, который всё записывает. После смены дефолтных настроек, добавь быструю проверку логов аудита, чтобы посмотреть, кто залезал в эти аккаунты, прежде чем их закрывать. Давай двигаться дальше — не должно превращаться в полноценную криминалистическую операцию, если только кто-то не оставил пароль для Telnet "admin".
Mark Mark
Звучит логично – только добавь короткий grep по /var/log/secure или куда там система пишет про авторизацию, и отметь все входы с этими стандартными учетками. Если "admin" слишком часто встречается, это уже тревожный сигнал. Как только закроешь двери и проверишь логи, можешь заканчивать. Без криминалистов не обойдешься, если кто-то оставил пароль типа “admin”.