Jump to content
Калькуляторы

Ботнет взломал сеть

Всем доброго вечера! случилась неприятность, вчера ботнет ломанул админский пароль на клиентских СРЕ, да мой косяк что порты были открыты во внешку, хакнуто более 100-ни тиков

 

удалён admin и создан system с доступом из 23.0.0.0/8

e71b08adaa88cf7a6949782e8aef877f.png
https://gyazo.com/e71b08adaa88cf7a6949782e8aef877f

 

негодяями добавлено:

 

/ip pool
add name=vpnx ranges=192.168.77.1-192.168.77.10
/ppp profile
add dns-server=8.8.8.8 local-address=192.168.77.254 name=vpnx rate-limit=5m/5m remote-address=vpnx
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=yes max-mru=1460 max-mtu=1460
/ip cloud
set ddns-enabled=yes
/ip firewall nat
add action=masquerade chain=srcnat
/ppp secret
add name=ros password=1234 profile=vpnx

 

на часть тиков я могу зайти по радиусу и почистить, но на части не настроена авторизация по радиусу

есть ли шанс зайти под админом system? сэмулировать подсеть 23.0.0.0/8 это понятно, но может кто уже сталкивался и известен пароль?

Share this post


Link to post
Share on other sites

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

Share this post


Link to post
Share on other sites

42 minutes ago, crank said:

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

Но достаточно выключить webfig или (а лучше И) сменить port 8291 - и  эта крутая (а действительно так) прога не срабатывает даже при ненастроенном файерволе. 

 

Share this post


Link to post
Share on other sites

@DAF , так и есть, но в сети еще очень много тиков, у которых всё включено, порты стандартные и фаервол ненастроен.

Share this post


Link to post
Share on other sites

8 часов назад, crank сказал:

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

вот так роутерОС РЕШЕТО!!! спасибо за прогу =))))

 

уязвимость на 80 порту, логин system пароль Aa142636

 

нет слов, одни эмоции =))))

Share this post


Link to post
Share on other sites

1 час назад, yKpon сказал:

вот так роутерОС РЕШЕТО!!! спасибо за прогу =))))

Если бы ботнетописатели не меняли пароли, а просто создали возможность удаленного доступа для себя - вы бы и не заметили что оборудование используется для каких-то других нужд.

 

1 час назад, saaremaa сказал:

Хм, спасибо за программу

Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные.

Share this post


Link to post
Share on other sites

5 минут назад, Saab95 сказал:

Если бы ботнетописатели не меняли пароли, а просто создали возможность удаленного доступа для себя - вы бы и не заметили что оборудование используется для каких-то других нужд.

Такие ботнеты тоже находили. Абонентские роутеры взламывали, понижали права для пользователя admin и делали себе полный доступ.

Share this post


Link to post
Share on other sites

2 минуты назад, crank сказал:

понижали права для пользователя admin и делали себе полный доступ.

что собственно и сделали мне

 

задушил вот так

/ip service
set api disabled=yes
set api-ssl disabled=yes
set ftp disabled=yes
set www disabled=yes
set telnet address=10.0.0.0/8
set ssh address=10.0.0.0/8
set winbox address=10.0.0.0/8

Share this post


Link to post
Share on other sites

"Уж сколько раз твердили миру"(с) Крылов

Абонент - самое большое бедствие для провайдера, и не защищать сеть с его стороны глупо.

Лупбэк детекшны, ACL, dhcp снупинги, Ip биндинги, порт изолейшны - все это прикручивают, чтобы отгородится от абонента. А тут менеджмент доступен со стороны абона...

Share this post


Link to post
Share on other sites

8 минут назад, TheUser сказал:

А тут менеджмент доступен со стороны абона...

mgmt vlan — это устаревшая технология.

А там, где кастуется заклинание «устаревшая технология», проблем быть не может, если они есть, значит нужно сбросить Микротик и настроить его заново.

Share this post


Link to post
Share on other sites

Цитата

Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные.

у нас "по старинке" изолированный vlan управления + полиси по ip в /ip service

Машина с которой тестируем не имеет выхода в Интернет.

Share this post


Link to post
Share on other sites

4 hours ago, yKpon said:

вот так роутерОС РЕШЕТО!!!

Стоит уточнить - решетом его делает пользователь. То, что искапопки главная учетка называется гордым словом admin означает лишь то, что на девайсе заводские настройки. Однако очень многие добавляют пароль и на этом успокаиваются.

admin, root, ubnt etc. - не лучшее имя суперпользователя. 

Далее - везде.

3 hours ago, Saab95 said:

Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные.

Отсылает найденные SSID, BSSID и пароли WI-FI в объединенную базу с привязкой к геолокации  https://3wifi.stascorp.com/

 

Edited by DAF

Share this post


Link to post
Share on other sites

9 минут назад, DAF сказал:

admin, root, ubnt etc. - не лучшее имя суперпользователя.

Какая разница, пусть хоть pu89f5h1teil3evk будет называться.

Эти данные не подбираются, а извлекаются из устройства.

Share this post


Link to post
Share on other sites

Офигеть - это ничего не сказать.

Если с микротами 6.42.1 решает, то тп-линки и прочее открывается "на ура"

 

Кстати, 6.42 оно пароль показывает. А проверил на более древней 6.20 - не показывает.

Edited by Trueno

Share this post


Link to post
Share on other sites

2 minutes ago, alibek said:

Какая разница, пусть хоть pu89f5h1teil3evk будет называться.

Эти данные не подбираются, а извлекаются из устройства.

Я имел ввиду только начало процесса создания решета. Все остальное в следующей строке. :)

Share this post


Link to post
Share on other sites

7 minutes ago, Trueno said:

Офигеть - это ничего не сказать.

Если с микротами 6.42.1 решает, то тп-линки и прочее открывается "на ура"

Причем микротовцы пропатчили дыру в тот же день насколько я понял.

 

Многие тплинки хоть логин:пароль не отдают (если не admin:admin), только SSID/BSSID WPA.

ИМХО у ASUS и D-Link картина печальней.

 

А так прога хорошее дополнение к KaliLinux для проверки уязвимостей своего сетевого хозяйства. И некоторым вендорам не дает расслабиться.  :)

Share this post


Link to post
Share on other sites

мда, сканер огонь, запустил на локалке провайдера... штук 30 тиков, так и хотелось зайти на каждый и настроить фаервол :)

Share this post


Link to post
Share on other sites

В ‎16‎.‎05‎.‎2018 в 23:14, crank сказал:

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

Караул.

Просканировал абонентскую сетку, сходу нашлось полсотни дырявых роутеров или роутеров с простыми паролями (причем последних больше).

У одного так вообще WiFi открытый (без пароля) и пароль на роутер заводской (admin/admin), причем это абонент из МКД.

 

Микротиков, кстати, немного.

Много TP-Link и откуда-то взялось несколько ZTE.

Share this post


Link to post
Share on other sites

30 минут назад, VolanD666 сказал:

Он только винбокснутых ломает?

по наблюдениям там где web открыт, если только винбокс, то ничего не показывает

Share this post


Link to post
Share on other sites

1 час назад, .None сказал:

по наблюдениям там где web открыт, если только винбокс, то ничего не показывает

Судя по всему прога определяет тип роутера через web, а потом уже если видит микротик, то лезет в порт winbox. Поэтому и получается, что если только winbox светится, то прога молчит. Только это не значит, что кто-то другой не сможет получить доступ.

Share this post


Link to post
Share on other sites

2 часа назад, crank сказал:

Судя по всему прога определяет тип роутера через web, а потом уже если видит микротик, то лезет в порт winbox. Поэтому и получается, что если только winbox светится, то прога молчит. Только это не значит, что кто-то другой не сможет получить доступ.


Не лазит RS по винбоксу, web only

 

 

44 минуты назад, VolanD666 сказал:

Ну т.е. если открыт только SSH то можно не париться?


Можно, если, конечно у вас там не admin:admin, root:admin, admin:root :)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.