Qui s'est connecté à mes imprimantes?

22

Ce 1er avril, quelqu'un s'est connecté aux imprimantes et a changé l'écran prêt pour "voter pour josh" sur de nombreuses imprimantes HP LaserJet. Je sais qu'ils doivent s'être connectés via telnet. Et j'ai trouvé cet article sur la façon de perpétrer cette activité: http://blog.mbcharbonneau.com/2007/01/22/change-the-status-message-of-a-hp-laserjet-printer/ Je me demande juste , comment puis-je savoir qui a fait ce mal? HP telnet sur les imprimantes tient-il un journal d'accès? Si oui, comment y accéder?

entrez la description de l'image ici

MISE À JOUR: Oh hé, voter pour Josh est de retour aujourd'hui, mais la configuration Telnet est désactivée et le mot de passe administrateur que j'ai configuré est supprimé ?? Comment puis-je verrouiller cette BS?

MISE À JOUR: J'ai mis à jour le firmware d' ici: mais le message persiste à revenir. Je ne peux pas m'en débarrasser.

j0h
la source
3
L'une des questions les plus divertissantes que j'ai vues depuis un moment… J'espère que vous comprendrez cela! PS Demandez à Josh s'il l'a fait.
Steve Meisner
16
On dirait que c'était Josh.
3
Intéressant. Nous avons également quelques LaserJets affichant "Votez pour Josh" ce matin. Notre gestionnaire de serveur d'impression s'appelle Josh, mais nie son implication, et après avoir vu ce post, j'ai tendance à le croire. Quels numéros de modèle sont affectés pour vous? Nous l'avons sur un couple P4015. Toute chance que ce soit une attaque (les trois imprimantes que j'ai vues ont toutes des NAT externes). Ou une bombe à retardement ingénieuse HP Engine 4/1?
2
Vu de la même façon sur un Kyocera qui a également le port 9100 exposé pour l'impression RAW, il s'agit donc certainement d'un nouvel outil automatisé. Je vais juste resserrer l'accès au 9100 de la / 16 de la société externe avec laquelle nous travaillons et qui doit l'imprimer.
George
2
Wow, c'est un vieil exploit. Mettez à jour votre firmware.
Keltari

Réponses:

4

Si vos imprimantes fonctionnent toutes via un serveur d'impression HP jetdirect centralisé, vous pouvez avoir des journaux en fonction de la configuration de ce serveur. contactez la personne qui exécute cet appareil.

D'après mes propres investigations, il n'y a pas de «journaux d'accès» sur les imprimantes et aucun moyen de le suivre à moins que votre réseau spécifique ne fasse une sorte de journalisation. Si vos imprimantes sont configurées individuellement comme dans la plupart des cas, alors vous n'avez vraiment rien.

C'est un point intéressant cependant! Je sais que les imprimantes de la Western Kentucky University et de la Northern Michigan University ont toutes deux affiché ce message. D'après les autres commentaires, il y a plus de gens qui vivent cela.

Ce n'est pas un mème à ma connaissance, et il n'y a pas de véritable lien entre les zones touchées. Cela indique qu'il s'agit d'un processus automatisé quelconque. Probablement un qui spams les ports Telnet dans l'espoir de trouver une imprimante non protégée.

Ce que je veux dire, c'est que vous n'avez pas un farceur spécifique à traquer, mais un virus / ver, qui peut avoir infecté de nombreuses machines. Je suppose que ce serait la farce du fou d'avril. Je sais qu'au moins certaines de ces imprimantes affectées étaient derrière un NAT, il est donc logique que les commandes proviennent du réseau, et étant donné la zone géographique d'effet relativement large, ce doit être soit un groupe d'individus coordonnés faisant quelque chose de complètement fou ou c'est un programme.

Travis Clark
la source
J'ai écrit un script de surveillance, dans la coquille, On dirait que j'ai de nouveau été frappé vers le 3 avril 21:09:24 EDT 2014. J'espère que les gars du réseautage pourront obtenir cela, si je peux fournir un horodatage.
j0h
1
Informations sur le message: le texte fait référence à la voiture nascar que la communauté de la monnaie numérique a sponsorisée sur www.reddit.com/r/dogecoin. Ils voulaient que Josh Wise (qui conduisait la voiture) gagne parce que c'est une voiture ridicule.
Tek