Взломали ли меня?

ayalon · Сообщение **ayalon** » 13 янв 2025, 23:53

Здравствуйте,
сегодня хотел сделать кое-какие изменения в настройках камер и NVR (обычные XM камеры с 307 матрицей от DREMELLO), и зашёл в лог одной камеры. Заметил там какую-то непонятную активность, примерно каждые 10 минут вижу такую строчку (иногда каждые полчаса, по разному):
00544 2025-01-12 15:50:07 Log Out[RTSP:84.228.38.220]
иногда появляется такая строчка:
00545 2025-01-12 15:50:08 Log In[RTSP:84.228.38.220]

и совсем изредка какие-то залётные IP с Америки.
Вот пример лога:
00532 2025-01-12 14:38:33 Log Out[RTSP:188.64.206.114]
00533 2025-01-12 14:59:19 Log Out[RTSP:84.228.38.220]
00534 2025-01-12 14:59:20 Log In[RTSP:84.228.38.220]
00535 2025-01-12 14:59:24 Log Out[RTSP:84.228.38.220]
00536 2025-01-12 14:59:29 Log Out[RTSP:84.228.38.220]
00537 2025-01-12 14:59:32 Log Out[RTSP:84.228.38.220]
00538 2025-01-12 14:59:39 Log Out[RTSP:84.228.38.220]
00539 2025-01-12 15:00:12 Log Out[RTSP:84.228.38.220]
00540 2025-01-12 15:01:36 Log Out[RTSP:84.228.38.220]
00541 2025-01-12 15:01:47 Log Out[RTSP:84.228.38.220]
00542 2025-01-12 15:02:06 Log Out[RTSP:84.228.38.220]
00543 2025-01-12 15:50:03 Log Out[RTSP:84.228.38.220]

На всех камерах включен RTSP, с паролем, то есть я могу удалённо через приложение в телефоне смотреть свои камеры.
Я на всякий случай внёс 84.228.38.220 в чёрный список. Непонятно, неужели брутфорсом кто-то узнал от RTSP логин с паролем?
И нафига так часто какой-то непонятный Log Out? Может камера сама отправляет поток? Cloud галочка снята если что...

kROOT · Сообщение **kROOT** » 14 янв 2025, 00:10

Может и через уязвимость взломали, вытащили хэш пароля и через него подключаются, а вообще при подключении через rtsp с паролем, этот пароль сниферится даже без расшифровки на любом участке канала от телефона до камеры, а это могут быть десятки узлов. Так что лучше поменять пароль и подключаться через 34567 порт, он более защищен.

ayalon · Сообщение **ayalon** » 14 янв 2025, 01:10

Благодарю за ответ.
Имя пользователя у меня стандартный: admin
если создам другое имя для подключения через rtsp, то через admin они смогут наравне со свежесозданным именем пользователя подключаться? Или вообще снести имя admin и придумать другое для безопасности?

Norco-77 · Сообщение **Norco-77** » 14 янв 2025, 01:17

ayalon писал(а): ↑
14 янв 2025, 01:10
Или вообще снести имя admin и придумать другое для безопасности?

Стандартное имя admin не удаляется

ayalon · Сообщение **ayalon** » 14 янв 2025, 01:24

kROOT писал(а): ↑
14 янв 2025, 00:10
Может и через уязвимость взломали, вытащили хэш пароля и через него подключаются, а вообще при подключении через rtsp с паролем, этот пароль сниферится даже без расшифровки на любом участке канала от телефона до камеры, а это могут быть десятки узлов. Так что лучше поменять пароль и подключаться через 34567 порт, он более защищен.

я правильно понимаю, что 34567 порт это публичный порт в перенаправлении портов раутера? Или это порт в самой камере?

ayalon · Сообщение **ayalon** » 14 янв 2025, 01:40

Здесь пишут что наоборот 34567 порт уязвим:
viewtopic.php?f=20&t=11172&start=6792#p160043

awadima · Сообщение **awadima** » 14 янв 2025, 08:47

ayalon писал(а): ↑
14 янв 2025, 01:40
Здесь пишут что наоборот 34567 порт уязвим:
viewtopic.php?f=20&t=11172&start=6792#p160043

там говорится больше в сторону изменения проброса со внешнего IP
не 1в1 а со смещением

kROOT · Сообщение **kROOT** » 14 янв 2025, 09:55

ayalon писал(а): ↑
14 янв 2025, 01:40
Здесь пишут что наоборот 34567 порт уязвим:
viewtopic.php?f=20&t=11172&start=6792#p160043

Этот порт для работы с камерой через приложение xmeye pro и он да, уязвим, поэтому надо внешний порт указывать на какой то другой и патчить прошивкой с этого канала https://t.me/xmunofficial и менять пароль.

ayalon · Сообщение **ayalon** » 14 янв 2025, 18:01

kROOT, сердечно благодарю за ссылку на телеграм-канал (я здесь уже 5 лет шарюсь и не знал про этот канал).
Перепрошил все свои камеры и NVR (на всякий случай). На раутере внешние порты для RTSP установил пятизначные. Пароль ещё не менял, буду ловить на живца, если будет несанкционированный доступ в логах, то поменяю пароль.
P.S. потоки с камер через RTSP я смотрю с телефона с помощью приложения Onvier, в котором прописаны логины-пароли каждого потока RTSP. Есть ли шанс, что автор этого приложения сливает эти логины пользователей?

kROOT · Сообщение **kROOT** » 14 янв 2025, 18:09

ayalon писал(а): ↑
14 янв 2025, 18:01
Есть ли шанс, что автор этого приложения сливает эти логины пользователей?

Может быть что угодно, но самое простое - на магистралях перехватывать незашифрованные пароли, всем известны факты взлома камер не только вирусами, но и целенаправленно врагами для военных целей. Если я выставляю rtsp наружу, то только через юзера с самыми низкими правами, только на просмотр.
А ловить... в логах все равно будут попытки авторизации, даже если пароли сменить.

ayalon · Сообщение **ayalon** » 14 янв 2025, 18:32

Если я выставляю rtsp наружу, то только через юзера с самыми низкими правами, только на просмотр.

Имеется в виду седьмой пункт Monitor?

ayalon · Сообщение **ayalon** » 14 янв 2025, 18:41

kROOT
Кстати, в группе admin не позволяет сохранить конфигурацию, когда убираю галку с седьмого пункта: Monitor
хотел бы, чтобы злоумышленники не генерили ссылку с известным именем пользователя admin , типа user=admin&password=12345678, я для этого создал user с другим именем, как Вы посоветовали.

Форум по системам видеонаблюдения и безопасности.

Взломали ли меня?

Взломали ли меня?

Re: Взломали ли меня?

Re: Взломали ли меня?

Re: Взломали ли меня?

Re: Взломали ли меня?

Re: Взломали ли меня?

Re: Взломали ли меня?

Re: Взломали ли меня?

Re: Взломали ли меня?

Re: Взломали ли меня?

Re: Взломали ли меня?

Re: Взломали ли меня?