Непонятная попытка взлома, куда копать

Обсуждение ПО и его настройки
Ответить
drossel
Сообщения: 1
Зарегистрирован: 10 окт 2021, 13:08

Доброго времени, коллеги.
Обнаружил в логах попытки логина:

Код: Выделить всё

login failure for user admin from 172.20.10.1 via winbox
при том, что 172.20.10.1 это локальный адрес роутера.
Сначала грешил на NAT, но даже когда все правила NAT отключены попытки продолжаются.
Пытался отловить через torch, но обнаружил только пакеты от CAPsMAN.
Смущает а) что попытки с локального адреса железки, б) через winbox
аккаунт отключен, временно решил дело фаерволлом, но хотелось бы понять причины.
Есть ли идеи, в какую сторону копать?


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Winbox наружу торчит?
VPN есть?
drossel писал(а): 10 окт 2021, 13:20 обнаружил только пакеты от CAPsMAN
Капсман ведь на роутере рулит трафиком, вполне возможно что подключались через WiFi, вспоминайте сами не ошибались при вводе пароля или dude?


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ответить