Произошел странный инцидент

Локальная сеть подключена к внешнему миру через DFL-860E прошивка 2.40.04.08-21457 Jun 4 2013
На DFL подняты PPTP и L2TP сервера.

В локальной сети зафиксирована подозрительная активность с одного из внутренних IP адресов. Некто пытался подключиться по SSH к одному из серверов. (Может, и не к одному, просто один очень бдительный и сообщил об этом).

Этот адрес принадлежит пулу адресов PPTP.

Но дальше непонятно. Аутентификация для удаленного доступа происходит по внутренней базе пользователей.

Все пользователи во внутренней базе имеют свои IP адреса. И ни у одного из них нет того, с которого зафиксирована активность.

Что же произошло?

- Пользователь с другого компьютера лез с поддельного IP? странно... как же он попал именно на первый адрес в пуле PPTP? Свободных адресов и других в локалке много.

- Пользователь подключался по PPTP, но в результате глюка получил адрес из пула? И так совпало, что именно это было подключение хулигана? Странное совпадение.

- Пользователь подобрал пароль для управления DFL, внес себя в базу пользователей без фиксированного адреса, полазил по сети, потом снова удалил себя? Как-то сложновато...

- Пользователь воспользовался какой-то дырой в DFL?

Какие еще варианты?


----------------------
Я подумал, может, я слишком сбивчиво и невнятно изложил ситуацию?

Основные моменты такие:

1. Зафиксирована нелегальная попытка подключения какого-то человека по SSH к одному из серверов в локалке
2. IP адрес, с которого производилась попытка - тот, который должен был получить юзер, залогинившийся по PPTP VPN, если бы у этого юзера не был указан собственный IP адрес в списке юзеров
3. У всех юзеров, которым разрешено подключаться по PPTP, прописаны собственные IP и данного адреса нет ни у кого. Авторизация при удаленном подключении - только по собственной базе DFL

Остались следы если это так: время последней перезагрузки, изменение конфигурации.

_________________
DFL-860E 11.10.01.06-31274 (WW)
DFL-210 2.27.03.25-14787 (WW)

а мне кажется банальный бот завелся у пользователей

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Спасибо.

Теперь-то я наладил сохранение логов, но старых логов, естественно, нет. (((

Есть пара нюансов.

Пользовательских компьютеров в этой сети нет. Подключиться со своим компьютером к этой сети никто не может: помещение на сигнализации, за его пределы локалка не выходит. WiFi выключен. Пользователи подключаются по VPN, работают с терминальным сервером. У терминального сервера свой фиксированный IP, и разве бот, запущенный на нем, станет имитировать другой IP?

Второй нюанс забавный. Я увидел сообщение, что некоторый юзер с логином tooy пытался подключиться к серверу. Сначала логин показался мне странным, потом я посмотрел на клавиатуру и мне пришло в голову: человек, работает на клаве двумя руками, левая рука на позицию съехала и вместо root получился tooy. Учитывая утреннее время, получается довольно складно.

Боты, вроде, так не делают?

ни чего странного , боты могут маскироваться как угодно ...
у меня много таких в трапы попадает - там и погибают потом

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Бот, допустим, смог подменить адрес компа, на котором был запущен.
При этом случайно использовал адрес из пула... ну, допустим, там не так уж много адресов, которые свободны и не входят ни в какой пул.

Но пользователь tooy - это уже не маскировка, это демаскировка, причем бесполезная.
Разве что есть мода таким образом переименовывать рута. Бот может подбирать и логин, не только пароль.

Однако, если бы были попытки вломиться на тот же сервер с другим логином, я бы знал. Не было этих попыток.

Проще всего было бы предположить, что некто использовал какую-то дыру, позволяющую подключиться к серверу PPTP,
но я полагаю, если бы такая дыра в этой прошивке была известна, мне бы уже давно сказали об этом.

Все разрешилось самым безобидным и забавным образом.

Сегодня мне опять пришло такое же сообщение, только на этот раз был мой логин, неправильный пароль и ip адрес, который вот уже несколько месяцев никто не мог получить.

Я сначала перепугался, начал искать в логах DFL - НИЧЕГО. На другие сервера никто левый не заходил.

И тут до меня дошло, что и диагностика может быть ошибочной.

Короче, это была бага или фича FreeNAS, в силу которой FreeNAS выдала диагностику годичной давности (год в сообщении не был указан). Да, год назад я вполне мог иметь этот ip, подключаться к freeNAS и промахнуться при наборе пароля.

И в почтовой базе действительно обнаружилось такое же сообщение ровно год назад: тот же логин, тот же IP, то же время с точностью до секунды.

Всем спасибо.

Отлегло конкретно. ))