21:09
21/8/2012

Środek nocy. Cisza. Nagle twoja drukarka zaczyna drukować. Sama z siebie… Wielu producentów i wiele modeli drukarek od kilku dni samoistnie drukuje ciąg znaków ö☺<de=♠IEEEMlsqlexec♠9.280. Niektóre z nich na kolejnej stronie dodają RDS\#R000000♣sqli☺3☺♣nmap♣nmapol=tlitcp☺h. O co chodzi?

ö☺<de=♠IEEEMlsqlexec♠9.280

tajemniczy wydruk

tajemniczy wydruk

Pierwsze doniesienia o samoistnie drukujących drukarkach pojawiły się 18 sierpnia na forum Apple. Ale sprawa nie dotyczy jedynie drukarek podpiętych do bezprzewodowych routerów Airport Extreme. A problem zdaje się być globalny, bo informują o nim również internauci z Polski:

samoistnie drukujące drukarki

samoistnie drukujące drukarki

Jeśli dobrze przyjrzeć się “wypluwanym” przez drukarki znakom:ö☺<de=♠IEEEMlsqlexec♠9.280
RDS\#R000000♣sqli☺3☺♣nmap♣nmapol=tlitcp☺h
zauważyć można pewne słowa kluczowe, takie jak: IEEE (czyli Institute of Electrical and Electronics Engineers), sqlexec, które zapewne jest nazwą jakiejś funkcji, 9.280 (wersja?) oraz ciąg sqli (albo chodzi o SQL injection, albo o bazę sqlite) oraz nmap (czyli nazwę popularnego skanera portów).

Najprawdopodobniej ktoś skanuje publicznie osiągalne adresy IP i testuje je pomocy nmapowych skryptów — jeden z nich, “nmap-service-probes“, zawiera wypisane wyżej “tajemnicze” ciągi znaków. Jak zauważa Notowany, ciąg ten odpowiada za próbkowanie urządzeń Informix.

Wydruki zapewne pojawiają się, ponieważ serwer druku nasłuchuje na skanowanym przez kogoś porcie (tu dodajmy, że drukarki najczęściej słuchają na porcie 9100 — może właśnie ktoś wpadł na pomysł masowego skanowania tego portu?). Dlaczego nagle (dopiero teraz?) stało się o tym głośno? Miejmy nadzieję, że nie jest to kontynuacja badań umożliwiających podpalenie drukarki przez internet ;)

Jak się zabezpieczyć?

Jeśli chcecie sprawdzić, czy wasza drukarka coś wydrukuje, potraktujcie ją nmapem:

nmap -sV IP_DRUKARKI -p- -sC

Wiedząc, jakie rzeczy można znaleźć w pamięci drukarki, na wszelki wypadek, upewnijcie się że wasza drukarka nie jest osiągalna na publicznym adresie IP (często na domowym routerze występuje przekierowanie portów).

Czy twoja drukarka też to wydrukowała?
Czy komuś z Was drukarka wydrukowała ostatnio jakieś dziwne znaki? Jeśli tak, podajcie w komentarzach o jaki model drukarki chodzi, co dokładnie zostało wydrukowane i czy drukarka jest osiągalna z internetu?

Przeczytaj także:

60 komentarzy

Dodaj komentarz
  1. Ja włączam drukarkę jak potrzebuję coś wydrukować, poza tym stoi wyłączona cały czas.

  2. Dokladnie mi wydrukowal moj HP 18.VIII.2012. Ale tylko 1 strona …

  3. Mój kot potrafi włączać drukarkę i rozpocząć skanowanie w środku nocy ;-)

    • Twój kot potrafi skanować na drukarce – no to masz zaje….ego kota.

    • Urządzenia wielofunkcyjne to chyba dzisiaj standard?

    • Drukarka nie jest urządzeniem wielofunkcyjnym tylko drukarką.

  4. I Want to Believe

    sprawa do wyjaśnienia przez Foxa Muldera :D

  5. Dostałem wczoraj w dziekanacie kartkę z tym ciągiem na drugiej stronie, więc musiało pani dziekanatowej wypluć, ale zlała sprawę i odzyskała papier :D

    • padłem :D

    • Normalnie nie moge ale studenci rosną to nie nie dziwię że nie chcą ich do roboty.

  6. A gdybyśmy uwidocznili z zewnątrz wirtualne drukarki i skanowali ruch? Może coś złapiemy i sprawa się wyjaśni?

    • sniffuj, ja niestety nie mam takiego routera :(

  7. Eee tam.. misie na 90% w systemach drukowania znaleźli dziurę i czeszą. Sam printer to nic ciekawego ale dysk z historia druku… uhuuhuu :-)

  8. Gdyby nie ta cholerna drukarka to bym nie wpadł na to, że mam przestawioną konfigurację firewalla w OpenWrt… Ale wstyd.

    • Możesz rozwinąć myśl? Bo sprawdziłbym u siebie.

    • Pokaż co masz w
      /etc/config/firewall
      i
      /etc/firewall.user

      U siebie swego czasu testowałem coś i na moment wyłączyłem główną wajche – input wan na accept, oczywiście jak skończyłem sprawdzać to już nie przestawiłem tego i stąd drukarka widoczna na zewnątrz.

  9. Tak się kończy wystawianie sprzętu na świat, a raczej nieświadomość konfiguracji sieci. Niestety, będzie tylko gorzej. IPv6 i wszystko jasne…
    No i dodam, że mnie nic nie wydrukowało, mam odpowiednie “bezpieczniki” ;).

    • co do tego ma IPv6?

  10. U mnie w pracy jakieś 4 lata temu ksero Ricoh Aficio drukowało coś podobnego kilka razy dziennie po kilka kartek. Było na wewnętrznym ip w osobnym vlanie podłączone przez printserwer, po jakimś czasie problem zniknął sam. Cholera go wie co to było, szkoda, że nie mam tych wydruków.

  11. Hmmm, ale dlaczego wszyscy zakładają, że chodzi tu o durkarki? Może ktoś po prostu skanuje w poszukiwaniu podatnej usługi, która nasłuchuje na niestandardowym porcie.
    Dane, które zostają wydrukowane, trafiają pewnie na port RAW/JetDirect (tcp 9100) drukarki. Nie mają właściwego formatu (PJL, PDL), więc zostają wydrukowane jako zwykły tekst.

  12. By default, Nmap version detection skips TCP port 9100 because some
    printers simply print anything sent to that port, leading to dozens
    of pages of HTTP GET requests, binary SSL session requests, etc.

  13. Jackpot!
    W pliku “nmap-service-probes” ze źródeł Nmapa jest zdefiniowana próbka “Informix probe”:
    Probe TCP informix q|\x94\x01\x3c\x64\x65\x3d\x06IEEEMlsqlexec\x069.280\x0cRDS\#R000000\x05sqli\x01\x33\
    0\x01\x05nmap\x05nmapol=tlitcp\x01\x68\x0b\x03\x05nmap\x6a\x7f|

    Także to pewnie nic specyficznego, zwykły skan. Niemniej jednak pozytyw z tego taki, że ludzie się dowiedzą, że mają powystawiane drukarki na świat:)

    • a pod spodem jeszcze:

      ports 1526,9088-9100

      …i wszystko jasne

    • tylko z drugiej strony na początku tego pliku jest:

      Exclude T:9100-9107

      ale może ktoś w jakiejś przeróbce nmapa to wywalił

  14. RDS = Remote Desktop Services

  15. a to nie jest ten numer z wirusem, co sie przypadkiem do katalogu spoolera instaluje czy cos?

    • Coś w ten deseń lub coś w tym stylu, ale raczej to nie ten numer jak coś.

    • nie bo tamten powodował drukowanie całego swojego kodu :P

    • no co… zreplikować się chciał do reala ;>

    • @wik +1 ROTFL

  16. A więc już się stało. Hmm myślałem, że zaimie im to dłużej…
    http://www.filmweb.pl/film/Bunt+maszyn-2006-253552

  17. “często na domowym routerze występuje przekierowanie portów” – nie spotkałem się nigdy z tym…

    • Fakt, że faktycznie wysłanie czegokolwiek na port więkoszości podłączonych do sieci drukarki powoduje iż traktuje to jak “lokalny wydruk do pliku” (wiecie o co chodzi).

  18. hmm, ciekawe że nikt nie wpadł na to żeby “poskanować” wszystkie IP na porcie 9100 jakimś ciekawszym tekstem, np.:
    “All your base are belong to us”
    “We are the Borg. We will add your biological and technological distinctiveness to our own. Resistance is futile.”
    “We are Anonymous. We are Legion. We do not forgive. We do not forget. Expect us.”
    jakby co, to nie był mój pomysł ;)

  19. Nie wiem kto zostawia włączoną na noc drukarkę przecież niektóre drukarki np hp w stanie “czuwania” zużywają 90% tyle prądu co w stanie gotowości..

  20. Na szczęście mam stareńką HP 845C wyłącznie na USB, więc mnie ten problem nie dotyczy. :D

    • Zawsze możesz sobie podpiąć pod PrintServer, ot tak, żeby dać komuś zabawę ;p

    • W sumie mam identyczną i to samo sobie pomyślałem :)

  21. HP CLJ 4700N i HP CLJ 4700 + JetDirect 620N – wydrukowało “GET / HTTP/1.0”
    a badziewny malutki Brother 585CW olał sprawę i nie wydrukował nic :)

    A samoczynnych wydruków nie było, bo drukarek na zewnątrz nie wystawiałem (bo i po co?!)

    hym, a gdyby tak najczęściej skanowane porty (20, 21, 22, 23, 25, 80, 110, 445, 587, 3306?) kierować na jakąś igłówkę? można zrobić IDS rodem z filmów :D

    • oj, okazało się, że brotherek się obraził na sieć i trzeba było go zrestartować – ciekawe czy tak bardzo się zdziwił tym skanem, czy to był feature służący do ochrony? Anyway, wiem już jak zdalnie zawiesić księgowej drukarkę :D

  22. Jakby moja zaczęła drukować byłbym w niebo wzięty, póki co obraziła się na świat :(

  23. Coś takiego, na pewno pierwsze znaki do znaku równości były te same, drukowało mi się paręnaście razy na drukarkach HP niepodpiętych do sieci. Więc nie wiem czy to nie sprawka Windowsa albo sterowników w ogóle.

    • No to na pewno drukarka wyrzucała Ci jakiś komunikat `błędu` :) Ale dopiero po znaczku “=” tekst nabiera sens. Często da się wyguglować rozwiązanie przepisując nawet cały ciąg znaków.

  24. HP LaserJet 1536dnf wydrukowala w weekend 2 strony a na kazdej po jednym stringu:
    <de=IEEEMlsqlexec9.280
    RDS\#R000000sqli3nmapnmapol=tlitcphnmapj
    Ten drugi string zakonczony kodem ASCII 178.
    Drukarka dostepna jest z Internetu.
    Nmap z proponowana przez Was skladnia nie spowodowal zadnego wydruku.

  25. protokół IPP zagrożony?

  26. Moja drukarka jest podłączona przez sieć LAN, ale nie przez serwer wydruków, a jako port drukarki, czyli bez sterowników nic nie wydrukuje.

    • znaczy się ma wbudowany printserver, powinna wydrukować

    • Bez print serwera. Tak jak bym podłączył drukarkę do komputera bezpośrednio, tylko wykorzystują do tego TCP/IP, a nie np. USB.

  27. Pokaż co masz w
    /etc/config/firewall
    i
    /etc/firewall.user

    U siebie swego czasu testowałem coś i na moment wyłączyłem główną wajche – input wan na accept, oczywiście jak skończyłem sprawdzać to już nie przestawiłem tego i stąd drukarka widoczna na zewnątrz.

  28. hmm moja drukarka HP Photosmart C4580 wydrukowała takie coś mam ją cały czas włączoną

  29. Chyba nie tylko na 9100 bawią się nmapem. Ostatnio włączyłem DMZ bo chciałem pograć z kolegami na moim serwerze i dostałem coś takiego z F-Secure
    http://i.imgur.com/e14UN.png
    http://i.imgur.com/HUkl9.png

    Adresy IP są z Chin.

  30. http://bash.org.pl/472/

    :D

  31. Mam drukarke samsung CLP801 i mam ją podłączoną (udostępnioną) globalnie na porcie 80.
    Co jakiś czas drukuje dziwne rzeczy

  32. Jak to wyłączyć:
    http://great-com.cba.pl/hosting/images/y776765opceucopxq88k.jpg

  33. […] nowszy model, z drugiej przecież myszki mogą być zainfekowane podobnie jak telewizory czy też drukarki). Destrukcje kolejnych urządzeń (wartych w sumie ok. 10 milionów złotych) powstrzymuje dopiero […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.