Chi ha effettuato l'accesso alle mie stampanti?

Questo 1 aprile qualcuno ha effettuato l'accesso alle stampanti e ha cambiato la schermata di "voto per josh" su numerose stampanti HP LaserJet. So che devono aver effettuato l'accesso tramite telnet. E ho trovato questo articolo su come perpetrare questa attività: http://blog.mbcharbonneau.com/2007/01/22/change-the-status-message-of-a-hp-laserjet-printer/ Mi sto solo chiedendo , come posso capire chi ha commesso questo danno? HP Telnet sulle stampanti mantiene un registro di accesso? In tal caso, come posso accedervi?

inserisci qui la descrizione dell'immagine

AGGIORNAMENTO: Oh hey, il voto per josh è tornato oggi, ma la configurazione di telnet è disabilitata e la password dell'amministratore che ho impostato viene rimossa ?? Come posso bloccare questo BS?

AGGIORNAMENTO: ho aggiornato il firmware da qui: ma il messaggio persiste nel tornare. Non riesco a liberarmene.

command-line telnet hp-laserjet

— j0h
fonte

Una delle domande più divertenti che ho visto da un po 'di tempo ... Spero che tu lo abbia capito! PS Chiedi a Josh se lo ha fatto.

— Steve Meisner,

Sembra che fosse Josh.

Interessante. Abbiamo anche alcuni LaserJets che mostrano "Vota per Josh" questa mattina. Il nostro gestore di server di stampa si chiama Josh, ma nega il suo coinvolgimento e, dopo aver visto questo post, sono propenso a credergli. Quali numeri di modello sono interessati per te? Lo abbiamo su una coppia P4015. Qualunque possibilità si trattasse di un attacco (le tre stampanti che ho visto hanno tutte NAT esterne). O una intelligente Timebomb 4/1 di un ingegnere HP?

Visto lo stesso su un Kyocera che ha anche la porta 9100 esposta per la stampa RAW, quindi è sicuramente uno strumento automatizzato emergente. Ho appena intenzione di restringere l'accesso a 9100 da / 16 della società esterna con cui lavoriamo che abbiamo bisogno di stampare su di esso.

— George,

Wow, è un vecchio exploit. Aggiorna il tuo firmware.

— Keltari,

Se tutte le stampanti funzionano attraverso un server di stampa HP jetdirect centralizzato, è possibile che si disponga di registri a seconda della configurazione del server. contattare chiunque esegue quel dispositivo.

Dalle mie stesse indagini, non ci sono "registri di accesso" sulle stampanti e nessun modo per rintracciarlo a meno che la tua rete specifica non esegua una sorta di registrazione. Se le tue stampanti sono configurate singolarmente come nella maggior parte dei casi, in realtà non hai nulla.

Questo è un punto interessante però! So che gli stampatori della Western Kentucky University e della Northern Michigan University hanno entrambi visualizzato questo messaggio. Dagli altri commenti ci sono più persone che lo sperimentano.

Non è un meme di cui sono a conoscenza, e non esiste una vera connessione tra le aree interessate. Ciò indica che si tratta di un processo automatizzato di qualche tipo. Probabilmente uno che spamma le porte telnet sperando di trovare una stampante non protetta.

Quello che sto ottenendo è che non hai un burlone specifico per la caccia, ma un virus / worm, che potrebbe aver infettato molte macchine. Immagino che sia uno scherzo di aprile sciocco. So che almeno alcune di queste stampanti interessate erano alla base di un NAT, quindi ha senso che i comandi provenissero dalla rete e, data l'area geografica di effetto relativamente ampia, deve essere un gruppo di individui coordinati che fanno qualcosa di completamente insano o è un programma.

— Travis Clark
fonte

ho scritto uno script di monitoraggio, in shell, sembra che mi sia stato colpito di nuovo intorno al 3 aprile 21:09:24 EDT 2014. Spero che i ragazzi della rete possano rimediare, se posso fornire un timestamp.

— j0h

Informazioni sul messaggio: il testo è un riferimento all'auto nascar sponsorizzata dalla comunità delle valute digitali su www.reddit.com/r/dogecoin. Volevano che Josh Wise (che guidava la macchina) vincesse, perché è una macchina ridicola.

— Tek