В логах login failure for user admin via telnet/ftp с произвольных хостов локальной сети

Обсуждение оборудования и его настройки
Ответить
riwer
Сообщения: 10
Зарегистрирован: 27 апр 2018, 18:53

Добрый день!

Подскажите, пожалуйста, как локализовать нарушителя?

У меня в ЛС несколько устройств Mikrotik (маршрутизатор, точки доступа) и в логах каждого из них с частотой
примерно раз-два в сутки одновременно появляются по две записи вида

Код: Выделить всё

login failure for user admin from x.x.x.x via telnet
login failure for user admin from x.x.x.x via ftp
причем x.x.x.x - адрес машины в локальной сети - каждый раз разный

Хосты засветившиеся в логах проверял на предмет троянов различным антивирусным ПО - безрезультатно :nez-nayu:


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну так это делают люди, скорее всего...

Телнет и ftp можно без ущерба для функциональности заблокировать на микротике. Они не нужны особо-то.

Ну, а локализовать как? Смотреть на время в логах и сопоставлять с тем, кто сидел за компом. Можно на компах поставить спец по, типа keylogger, которые будут записывать в лог все действия пользователей.


Ответить