¿Quién inició sesión en mis impresoras?

22

Este 1 de abril, alguien inició sesión en las impresoras y cambió la pantalla lista para "votar por josh" en numerosas impresoras HP LaserJet. Sé que deben haber iniciado sesión a través de telnet. Y encontré este artículo sobre cómo realizar esta actividad: http://blog.mbcharbonneau.com/2007/01/22/change-the-status-message-of-a-hp-laserjet-printer/ Me pregunto , ¿cómo puedo averiguar quién ha hecho esta travesura? ¿HP telnet en impresoras mantiene un registro de acceso? Si es así, ¿cómo puedo acceder?

ingrese la descripción de la imagen aquí

ACTUALIZACIÓN: Oh, oye, el voto por Josh ha vuelto hoy, pero la configuración de telnet está desactivada y la contraseña de administrador que configuré se eliminó. ¿Cómo puedo bloquear este BS?

ACTUALIZACIÓN: Actualicé el firmware desde aquí: pero el mensaje persiste en volver. No puedo deshacerme de eso.

command-line telnet hp-laserjet j0h
fuente
3
Una de las preguntas más entretenidas que he visto en mucho tiempo ... ¡Espero que lo entiendas! PD: Pregúntale a Josh si lo hizo.
Steve Meisner
16
Suena como si fuera Josh.
3
Interesante. También tenemos algunas LaserJets que muestran "Vote por Josh" esta mañana. Nuestro administrador del servidor de impresión se llama Josh, pero niega su participación, y después de ver esta publicación, me inclino a creerle. ¿Qué números de modelo te afectan? Lo tenemos en un par P4015. Cualquier posibilidad de que esto fuera un ataque (las tres impresoras que he visto tienen NAT externas). ¿O una inteligente bomba de tiempo 4/1 de ingeniero HP?
2
Visto lo mismo en un Kyocera que también tiene el puerto 9100 expuesto para la impresión RAW, por lo que definitivamente es una herramienta automatizada emergente. Solo voy a restringir el acceso a 9100 desde el / 16 de la compañía externa con la que trabajamos que necesita imprimir.
George
2
Wow, esa es una vieja hazaña. Actualiza tu firmware.
Keltari

Respuestas:

4

Si todas sus impresoras se ejecutan a través de un servidor de impresión jetdirect HP centralizado, entonces es posible que tenga registros dependiendo de cómo esté configurado ese servidor. póngase en contacto con quien ejecuta ese dispositivo.

Según mis propias investigaciones, no hay 'registros de acceso' en las impresoras, y no hay forma de rastrearlo a menos que su red específica realice algún tipo de registro. Si sus impresoras están configuradas individualmente, como en la mayoría de los casos, entonces no tiene nada, realmente.

¡Sin embargo, este es un punto interesante! Sé que los impresores de la Western Kentucky University y la Northern Michigan University han estado mostrando este mensaje. De los otros comentarios hay más personas experimentando esto.

No sé de un meme, y no hay una conexión real entre las áreas afectadas. Esto apunta a que es un proceso automatizado de algún tipo. Probablemente uno que atrape puertos telnet con la esperanza de encontrar una impresora desprotegida.

Lo que quiero decir es que no tienes un bromista específico para cazar, sino un virus / gusano, uno que puede haber infectado muchas máquinas. Supongo que sería una broma de tonto de abril. Sé que al menos algunas de estas impresoras afectadas estaban detrás de un NAT, por lo que tiene sentido que los comandos provengan de la red y, dada la área geográfica de efecto relativamente amplia, debe ser un grupo de personas coordinadas que hagan algo completamente inútil. o es un programa.

Travis Clark
fuente
escribí un script de monitoreo, en shell, Parece que me golpearon nuevamente alrededor del 3 de abril 21:09:24 EDT 2014. Espero que los chicos de redes puedan solucionarlo, si puedo proporcionar una marca de tiempo.
j0h
1
Información sobre el mensaje: el texto es una referencia al automóvil nascar que la comunidad de moneda digital patrocinó en www.reddit.com/r/dogecoin. Querían que Josh Wise (que conducía el auto) ganara porque bueno, es un auto ridículo.
Tek