yKpon Posted May 16, 2018 · Report post Всем доброго вечера! случилась неприятность, вчера ботнет ломанул админский пароль на клиентских СРЕ, да мой косяк что порты были открыты во внешку, хакнуто более 100-ни тиков удалён admin и создан system с доступом из 23.0.0.0/8 https://gyazo.com/e71b08adaa88cf7a6949782e8aef877f негодяями добавлено: /ip pool add name=vpnx ranges=192.168.77.1-192.168.77.10 /ppp profile add dns-server=8.8.8.8 local-address=192.168.77.254 name=vpnx rate-limit=5m/5m remote-address=vpnx /interface pptp-server server set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=yes max-mru=1460 max-mtu=1460 /ip cloud set ddns-enabled=yes /ip firewall nat add action=masquerade chain=srcnat /ppp secret add name=ros password=1234 profile=vpnx на часть тиков я могу зайти по радиусу и почистить, но на части не настроена авторизация по радиусу есть ли шанс зайти под админом system? сэмулировать подсеть 23.0.0.0/8 это понятно, но может кто уже сталкивался и известен пароль? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted May 16, 2018 · Report post Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291). Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted May 16, 2018 · Report post 42 minutes ago, crank said: Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291). Но достаточно выключить webfig или (а лучше И) сменить port 8291 - и эта крутая (а действительно так) прога не срабатывает даже при ненастроенном файерволе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted May 17, 2018 · Report post @DAF , так и есть, но в сети еще очень много тиков, у которых всё включено, порты стандартные и фаервол ненастроен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yKpon Posted May 17, 2018 · Report post 8 часов назад, crank сказал: Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291). вот так роутерОС РЕШЕТО!!! спасибо за прогу =)))) уязвимость на 80 порту, логин system пароль Aa142636 нет слов, одни эмоции =)))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted May 17, 2018 · Report post Хм, спасибо за программу http://stascorp.com/load/1-1-0-56 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
LostSoul Posted May 17, 2018 · Report post Пароли открытым текстом в 2018 году , это конечно, виват латышам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted May 17, 2018 · Report post 1 час назад, yKpon сказал: вот так роутерОС РЕШЕТО!!! спасибо за прогу =)))) Если бы ботнетописатели не меняли пароли, а просто создали возможность удаленного доступа для себя - вы бы и не заметили что оборудование используется для каких-то других нужд. 1 час назад, saaremaa сказал: Хм, спасибо за программу Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted May 17, 2018 · Report post 5 минут назад, Saab95 сказал: Если бы ботнетописатели не меняли пароли, а просто создали возможность удаленного доступа для себя - вы бы и не заметили что оборудование используется для каких-то других нужд. Такие ботнеты тоже находили. Абонентские роутеры взламывали, понижали права для пользователя admin и делали себе полный доступ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
yKpon Posted May 17, 2018 · Report post 2 минуты назад, crank сказал: понижали права для пользователя admin и делали себе полный доступ. что собственно и сделали мне задушил вот так /ip service set api disabled=yes set api-ssl disabled=yes set ftp disabled=yes set www disabled=yes set telnet address=10.0.0.0/8 set ssh address=10.0.0.0/8 set winbox address=10.0.0.0/8 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
TheUser Posted May 17, 2018 · Report post "Уж сколько раз твердили миру"(с) Крылов Абонент - самое большое бедствие для провайдера, и не защищать сеть с его стороны глупо. Лупбэк детекшны, ACL, dhcp снупинги, Ip биндинги, порт изолейшны - все это прикручивают, чтобы отгородится от абонента. А тут менеджмент доступен со стороны абона... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 17, 2018 · Report post 8 минут назад, TheUser сказал: А тут менеджмент доступен со стороны абона... mgmt vlan — это устаревшая технология. А там, где кастуется заклинание «устаревшая технология», проблем быть не может, если они есть, значит нужно сбросить Микротик и настроить его заново. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted May 17, 2018 · Report post Цитата Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные. у нас "по старинке" изолированный vlan управления + полиси по ip в /ip service Машина с которой тестируем не имеет выхода в Интернет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted May 17, 2018 (edited) · Report post 4 hours ago, yKpon said: вот так роутерОС РЕШЕТО!!! Стоит уточнить - решетом его делает пользователь. То, что искапопки главная учетка называется гордым словом admin означает лишь то, что на девайсе заводские настройки. Однако очень многие добавляют пароль и на этом успокаиваются. admin, root, ubnt etc. - не лучшее имя суперпользователя. Далее - везде. 3 hours ago, Saab95 said: Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные. Отсылает найденные SSID, BSSID и пароли WI-FI в объединенную базу с привязкой к геолокации https://3wifi.stascorp.com/ Edited May 17, 2018 by DAF Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 17, 2018 · Report post 9 минут назад, DAF сказал: admin, root, ubnt etc. - не лучшее имя суперпользователя. Какая разница, пусть хоть pu89f5h1teil3evk будет называться. Эти данные не подбираются, а извлекаются из устройства. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Trueno Posted May 17, 2018 (edited) · Report post Офигеть - это ничего не сказать. Если с микротами 6.42.1 решает, то тп-линки и прочее открывается "на ура" Кстати, 6.42 оно пароль показывает. А проверил на более древней 6.20 - не показывает. Edited May 17, 2018 by Trueno Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted May 17, 2018 · Report post 2 minutes ago, alibek said: Какая разница, пусть хоть pu89f5h1teil3evk будет называться. Эти данные не подбираются, а извлекаются из устройства. Я имел ввиду только начало процесса создания решета. Все остальное в следующей строке. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DAF Posted May 17, 2018 · Report post 7 minutes ago, Trueno said: Офигеть - это ничего не сказать. Если с микротами 6.42.1 решает, то тп-линки и прочее открывается "на ура" Причем микротовцы пропатчили дыру в тот же день насколько я понял. Многие тплинки хоть логин:пароль не отдают (если не admin:admin), только SSID/BSSID WPA. ИМХО у ASUS и D-Link картина печальней. А так прога хорошее дополнение к KaliLinux для проверки уязвимостей своего сетевого хозяйства. И некоторым вендорам не дает расслабиться. :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted May 18, 2018 · Report post мда, сканер огонь, запустил на локалке провайдера... штук 30 тиков, так и хотелось зайти на каждый и настроить фаервол :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted May 18, 2018 · Report post Он только винбокснутых ломает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted May 18, 2018 · Report post В 16.05.2018 в 23:14, crank сказал: Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291). Караул. Просканировал абонентскую сетку, сходу нашлось полсотни дырявых роутеров или роутеров с простыми паролями (причем последних больше). У одного так вообще WiFi открытый (без пароля) и пароль на роутер заводской (admin/admin), причем это абонент из МКД. Микротиков, кстати, немного. Много TP-Link и откуда-то взялось несколько ZTE. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
.None Posted May 18, 2018 · Report post 30 минут назад, VolanD666 сказал: Он только винбокснутых ломает? по наблюдениям там где web открыт, если только винбокс, то ничего не показывает Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
crank Posted May 18, 2018 · Report post 1 час назад, .None сказал: по наблюдениям там где web открыт, если только винбокс, то ничего не показывает Судя по всему прога определяет тип роутера через web, а потом уже если видит микротик, то лезет в порт winbox. Поэтому и получается, что если только winbox светится, то прога молчит. Только это не значит, что кто-то другой не сможет получить доступ. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted May 18, 2018 · Report post Ну т.е. если открыт только SSH то можно не париться? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mixtery Posted May 18, 2018 · Report post 2 часа назад, crank сказал: Судя по всему прога определяет тип роутера через web, а потом уже если видит микротик, то лезет в порт winbox. Поэтому и получается, что если только winbox светится, то прога молчит. Только это не значит, что кто-то другой не сможет получить доступ. Не лазит RS по винбоксу, web only 44 минуты назад, VolanD666 сказал: Ну т.е. если открыт только SSH то можно не париться? Можно, если, конечно у вас там не admin:admin, root:admin, admin:root :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...