Ich suche eine MIB-Definition für folgende OIDs:
- .1.3.6.1.4.1.11.2.14.4.5.1.2.1
- .1.3.6.1.4.1.11.2.14.4.5.1.2.2
- .1.3.6.1.4.1.11.2.14.4.5.1.2.3
Auf jeden Fall von einem HP J4813A ProCurve Switch 2524. Möglicherweise die icfSecurityMib aber in den MIBs die ich habe finde ich nichts (HP-ICF-SECURITY und HP-ICF-OID). Ich habe so den Verdacht, dass da bei einem HP ProCurve Switch ein paar Passwörter drinstehen könnten. Die erste OID hat bei mir den Wert „public“, das sieht aus wie der SNMP Community String. Die zweite OID enthält „cru3sl1“, die dritte „b@mbix“. Sieht verdächtig aus nach Passwörtern.
Gefunden habe ich die Werte bei einem Security-Scan. Die Geräte haben sich am Foundstone SNMP-Scanner wie folgt identifiziert:
- 10.xx.xx.xx,161,“public“,“HP J4813A ProCurve Switch 2524, revision F.05.17, ROM F.02.01 (/sw/code/build/info(s02))“
Die OIDs habe ich mit einem SNMP-Walk mit dem iReasoning MIB-Browser gefunden aber leider keine Beschreibung dafür. Für Hilfe gebe ich auf dem nächsten Chaos Computer Congress ein Bier aus 🙂
Es handelt sich bei allen 3 OIDs um SNMP-Communities. Ich habe auf einem ProCurve mal noch zwei zusätzliche Communities eingerichtet und die Abfragen gemacht:
root@server: /home/user# snmpget -v2c -c [richtigecommunity] [ip] 1.3.6.1.4.1.11.2.14.4.5.1.2.4
SNMPv2-SMI::enterprises.11.2.14.4.5.1.2.4 = STRING: "test2"
Das ist jetzt testweise mal die vierte Community auf dem Switch. Vermutlich setzt sich das so fort.
Die Chancen sind also groß, dass die beiden letzteren Communities Write-Access-Communities sind, vermutlich eine auf Manager und eine auf Operator-Ebene.
Comment by Ralf — 14. Oktober 2008 @ 15:59
http://support.ipmonitor.com/mibs_byoidtree.aspx
—
would be an „bionade“ also ok?
Comment by vido — 14. Oktober 2008 @ 21:44
hmm, wenn ich die Beschreibung von ipmonitor.com richtig interpretiere, dann sind
.1.3.6.1.4.1.11.2.14.4.5.1.2.x
alles read-only communities und
.1.3.6.1.4.1.11.2.14.4.5.1.4.x
wären die write communities.
Schade eigentlich, ich hatte gehofft, man kann die Kisten so vielleicht kompromittieren. Die anderen Werte aus dem Scan sind übrigens:
.1.3.6.1.4.1.11.2.14.4.5.1.2.1 public
.1.3.6.1.4.1.11.2.14.4.5.1.2.2 cru3sl1
.1.3.6.1.4.1.11.2.14.4.5.1.2.3 b@mbix
.1.3.6.1.4.1.11.2.14.4.5.1.3.1 5
.1.3.6.1.4.1.11.2.14.4.5.1.3.2 3
.1.3.6.1.4.1.11.2.14.4.5.1.3.3 5
.1.3.6.1.4.1.11.2.14.4.5.1.4.1 5
.1.3.6.1.4.1.11.2.14.4.5.1.4.2 3
.1.3.6.1.4.1.11.2.14.4.5.1.4.3 5
.1.3.6.1.4.1.11.2.14.4.5.1.5.1 1
.1.3.6.1.4.1.11.2.14.4.5.1.5.2 1
.1.3.6.1.4.1.11.2.14.4.5.1.5.3 1
Bionade ist auch ok … meldet Euch einfach auf dem CCC bei mir. Meine Mobilnummer steht im Impressum 😉
Comment by Christian — 14. Oktober 2008 @ 21:54
Kommentare gesperrt wegen Spam
Comment by Christian — 23. Februar 2009 @ 09:53