[yKpon]

Всем доброго вечера! случилась неприятность, вчера ботнет ломанул админский пароль на клиентских СРЕ, да мой косяк что порты были открыты во внешку, хакнуто более 100-ни тиков

 

удалён admin и создан system с доступом из 23.0.0.0/8

https://gyazo.com/e71b08adaa88cf7a6949782e8aef877f

 

негодяями добавлено:

 

/ip pool
add name=vpnx ranges=192.168.77.1-192.168.77.10
/ppp profile
add dns-server=8.8.8.8 local-address=192.168.77.254 name=vpnx rate-limit=5m/5m remote-address=vpnx
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=yes max-mru=1460 max-mtu=1460
/ip cloud
set ddns-enabled=yes
/ip firewall nat
add action=masquerade chain=srcnat
/ppp secret
add name=ros password=1234 profile=vpnx

 

на часть тиков я могу зайти по радиусу и почистить, но на части не настроена авторизация по радиусу

есть ли шанс зайти под админом system? сэмулировать подсеть 23.0.0.0/8 это понятно, но может кто уже сталкивался и известен пароль?

[crank]

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

[DAF]

42 minutes ago, crank said:

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

Но достаточно выключить webfig или (а лучше И) сменить port 8291 - и  эта крутая (а действительно так) прога не срабатывает даже при ненастроенном файерволе. 

 

[crank]

@DAF , так и есть, но в сети еще очень много тиков, у которых всё включено, порты стандартные и фаервол ненастроен.

[yKpon]

8 часов назад, crank сказал:

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

вот так роутерОС РЕШЕТО!!! спасибо за прогу =))))

 

уязвимость на 80 порту, логин system пароль Aa142636

 

нет слов, одни эмоции =))))

[saaremaa]

Хм, спасибо за программу http://stascorp.com/load/1-1-0-56

[LostSoul]

Пароли открытым текстом в 2018 году , это конечно,  виват латышам.

 

[Saab95]

1 час назад, yKpon сказал:

вот так роутерОС РЕШЕТО!!! спасибо за прогу =))))

Если бы ботнетописатели не меняли пароли, а просто создали возможность удаленного доступа для себя - вы бы и не заметили что оборудование используется для каких-то других нужд.

 

1 час назад, saaremaa сказал:

Хм, спасибо за программу

Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные.

[crank]

5 минут назад, Saab95 сказал:

Если бы ботнетописатели не меняли пароли, а просто создали возможность удаленного доступа для себя - вы бы и не заметили что оборудование используется для каких-то других нужд.

Такие ботнеты тоже находили. Абонентские роутеры взламывали, понижали права для пользователя admin и делали себе полный доступ.

[yKpon]

2 минуты назад, crank сказал:

понижали права для пользователя admin и делали себе полный доступ.

что собственно и сделали мне

 

задушил вот так

/ip service
set api disabled=yes
set api-ssl disabled=yes
set ftp disabled=yes
set www disabled=yes
set telnet address=10.0.0.0/8
set ssh address=10.0.0.0/8
set winbox address=10.0.0.0/8

[TheUser]

"Уж сколько раз твердили миру"(с) Крылов

Абонент - самое большое бедствие для провайдера, и не защищать сеть с его стороны глупо.

Лупбэк детекшны, ACL, dhcp снупинги, Ip биндинги, порт изолейшны - все это прикручивают, чтобы отгородится от абонента. А тут менеджмент доступен со стороны абона...

[alibek]

8 минут назад, TheUser сказал:

А тут менеджмент доступен со стороны абона...

mgmt vlan — это устаревшая технология.

А там, где кастуется заклинание «устаревшая технология», проблем быть не может, если они есть, значит нужно сбросить Микротик и настроить его заново.

[saaremaa]

Цитата

Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные.

у нас "по старинке" изолированный vlan управления + полиси по ip в /ip service

Машина с которой тестируем не имеет выхода в Интернет.

[DAF]

4 hours ago, yKpon said:

вот так роутерОС РЕШЕТО!!!

Стоит уточнить - решетом его делает пользователь. То, что искапопки главная учетка называется гордым словом admin означает лишь то, что на девайсе заводские настройки. Однако очень многие добавляют пароль и на этом успокаиваются.

admin, root, ubnt etc. - не лучшее имя суперпользователя. 

Далее - везде.

3 hours ago, Saab95 said:

Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные.

Отсылает найденные SSID, BSSID и пароли WI-FI в объединенную базу с привязкой к геолокации  https://3wifi.stascorp.com/

 

Изменено 17 мая, 2018 пользователем DAF

[alibek]

9 минут назад, DAF сказал:

admin, root, ubnt etc. - не лучшее имя суперпользователя.

Какая разница, пусть хоть pu89f5h1teil3evk будет называться.

Эти данные не подбираются, а извлекаются из устройства.

[Trueno]

Офигеть - это ничего не сказать.

Если с микротами 6.42.1 решает, то тп-линки и прочее открывается "на ура"

 

Кстати, 6.42 оно пароль показывает. А проверил на более древней 6.20 - не показывает.

Изменено 17 мая, 2018 пользователем Trueno

[DAF]

2 minutes ago, alibek said:

Какая разница, пусть хоть pu89f5h1teil3evk будет называться.

Эти данные не подбираются, а извлекаются из устройства.

Я имел ввиду только начало процесса создания решета. Все остальное в следующей строке. :)

[DAF]

7 minutes ago, Trueno said:

Офигеть - это ничего не сказать.

Если с микротами 6.42.1 решает, то тп-линки и прочее открывается "на ура"

Причем микротовцы пропатчили дыру в тот же день насколько я понял.

 

Многие тплинки хоть логин:пароль не отдают (если не admin:admin), только SSID/BSSID WPA.

ИМХО у ASUS и D-Link картина печальней.

 

А так прога хорошее дополнение к KaliLinux для проверки уязвимостей своего сетевого хозяйства. И некоторым вендорам не дает расслабиться.  :)

[.None]

мда, сканер огонь, запустил на локалке провайдера... штук 30 тиков, так и хотелось зайти на каждый и настроить фаервол :)

[VolanD666]

Он только винбокснутых ломает?

[alibek]

В ‎16‎.‎05‎.‎2018 в 23:14, crank сказал:

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

Караул.

Просканировал абонентскую сетку, сходу нашлось полсотни дырявых роутеров или роутеров с простыми паролями (причем последних больше).

У одного так вообще WiFi открытый (без пароля) и пароль на роутер заводской (admin/admin), причем это абонент из МКД.

 

Микротиков, кстати, немного.

Много TP-Link и откуда-то взялось несколько ZTE.

[.None]

30 минут назад, VolanD666 сказал:

Он только винбокснутых ломает?

по наблюдениям там где web открыт, если только винбокс, то ничего не показывает

[crank]

1 час назад, .None сказал:

по наблюдениям там где web открыт, если только винбокс, то ничего не показывает

Судя по всему прога определяет тип роутера через web, а потом уже если видит микротик, то лезет в порт winbox. Поэтому и получается, что если только winbox светится, то прога молчит. Только это не значит, что кто-то другой не сможет получить доступ.

[VolanD666]

Ну т.е. если открыт только SSH то можно не париться?

[mixtery]

2 часа назад, crank сказал:

Судя по всему прога определяет тип роутера через web, а потом уже если видит микротик, то лезет в порт winbox. Поэтому и получается, что если только winbox светится, то прога молчит. Только это не значит, что кто-то другой не сможет получить доступ.

Не лазит RS по винбоксу, web only

 

 

44 минуты назад, VolanD666 сказал:

Ну т.е. если открыт только SSH то можно не париться?

Можно, если, конечно у вас там не admin:admin, root:admin, admin:root :)