Quem logou nas minhas impressoras?

22

Em 1º de abril, alguém se conectou às impressoras e alterou a tela pronta para "votar em josh" em várias impressoras HP LaserJet. Eu sei que eles devem ter logado via telnet. E encontrei este artigo sobre como perpetrar essa atividade: http://blog.mbcharbonneau.com/2007/01/22/change-the-status-message-of-a-hp-laserjet-printer/ Eu estou apenas imaginando, como posso descobrir quem fez esse mal? A HP telnet em impressoras mantém um log de acesso? Se sim, como posso acessá-lo?

enter image description here

ATUALIZAR: Oh hey, vote para josh está de volta hoje, mas a configuração do telnet está desativada, e a senha de administrador que eu configurei foi removida ?? Como posso bloquear esse BS?

ATUALIZAR: Eu atualizei o firmware de Aqui: mas a mensagem persiste em voltar. Eu não posso me livrar disso.

command-line telnet hp-laserjet j0h
fonte
3
Uma das perguntas mais divertidas que eu já vi em um tempo… Espero que você entenda isso! P.S. Pergunte a Josh se ele fez isso.
Steve Meisner
16
Parece que foi o Josh.
3
Interessante. Também temos algumas LaserJets exibindo "Vote for Josh" esta manhã. Nosso gerente de servidor de impressão é chamado Josh, mas nega seu envolvimento e, depois de ver este post, estou inclinado a acreditar nele. Quais números de modelo são afetados por você? Nós temos isso em um par P4015. Qualquer chance de isso ser um ataque (as três impressoras que eu vi todas têm NATs externos). Ou um inteligente Timebomb 4/1 do HP Engineer?
2
Visto o mesmo em uma Kyocera que também tem a porta 9100 exposta para impressão RAW, então é definitivamente uma ferramenta automatizada emergente. Vou apenas apertar o acesso ao 9100 da / 16 da empresa externa com a qual trabalhamos e que precisamos imprimir nele.
George
2
Uau, isso é uma velho explorar. Atualize seu firmware.
Keltari

Respostas:

4

Se todas as suas impressoras passarem por um servidor de impressão HP Jetdirect centralizado, você poderá ter logs dependendo de como esse servidor está configurado. entre em contato com quem administra esse dispositivo.

De minhas próprias investigações, não há 'registros de acesso' nas impressoras, e não há como rastreá-las, a menos que sua rede específica faça algum tipo de registro. Se as suas impressoras são configuradas individualmente, como na maioria dos casos, então você não tem nada, na verdade.

Este é um ponto interessante embora! Eu sei que as gráficas da Western Kentucky University e da Northern Michigan University têm exibido essa mensagem. Dos outros comentários, há mais pessoas experimentando isso.

Não é um meme que conheço e não há conexão real entre as áreas afetadas. Isso aponta para ser um processo automatizado de algum tipo. Provavelmente, um que spams portas telnet na esperança de encontrar uma impressora desprotegida.

O que eu estou recebendo é que você não tem um brincalhão específico para caçar, mas um vírus / worm, um que pode ter infectado muitas máquinas. Eu acho que é uma brincadeira de alguém em abril. Eu sei que pelo menos algumas dessas impressoras afetadas estavam por trás de um NAT, então faz sentido que os comandos provenham da rede e, dada a área geográfica relativamente ampla de efeito, ele deve ser um grupo de indivíduos coordenados fazendo algo completamente sem sentido. ou é um programa.

Travis Clark
fonte
Eu escrevi um script de monitoramento, em shell, Parece que eu fui atingido novamente por volta de 3 de abril 21:09:24 EDT 2014. Estou esperançoso de que os caras da rede consigam resolver isso, se eu puder fornecer um registro de data e hora.
j0h
1
Informações sobre a mensagem: O texto é uma referência ao carro da nascar patrocinado pela comunidade de moedas digitais em www.reddit.com/r/dogecoin. Eles queriam que Josh Wise (que estava dirigindo o carro) vencesse porque, bem, é um carro ridículo.
Tek