yKpon Опубликовано 16 мая, 2018 · Жалоба Всем доброго вечера! случилась неприятность, вчера ботнет ломанул админский пароль на клиентских СРЕ, да мой косяк что порты были открыты во внешку, хакнуто более 100-ни тиков удалён admin и создан system с доступом из 23.0.0.0/8 https://gyazo.com/e71b08adaa88cf7a6949782e8aef877f негодяями добавлено: /ip pool add name=vpnx ranges=192.168.77.1-192.168.77.10 /ppp profile add dns-server=8.8.8.8 local-address=192.168.77.254 name=vpnx rate-limit=5m/5m remote-address=vpnx /interface pptp-server server set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=yes max-mru=1460 max-mtu=1460 /ip cloud set ddns-enabled=yes /ip firewall nat add action=masquerade chain=srcnat /ppp secret add name=ros password=1234 profile=vpnx на часть тиков я могу зайти по радиусу и почистить, но на части не настроена авторизация по радиусу есть ли шанс зайти под админом system? сэмулировать подсеть 23.0.0.0/8 это понятно, но может кто уже сталкивался и известен пароль? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 16 мая, 2018 · Жалоба Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 16 мая, 2018 · Жалоба 42 minutes ago, crank said: Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291). Но достаточно выключить webfig или (а лучше И) сменить port 8291 - и эта крутая (а действительно так) прога не срабатывает даже при ненастроенном файерволе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 17 мая, 2018 · Жалоба @DAF , так и есть, но в сети еще очень много тиков, у которых всё включено, порты стандартные и фаервол ненастроен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 17 мая, 2018 · Жалоба 8 часов назад, crank сказал: Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291). вот так роутерОС РЕШЕТО!!! спасибо за прогу =)))) уязвимость на 80 порту, логин system пароль Aa142636 нет слов, одни эмоции =)))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 17 мая, 2018 · Жалоба Хм, спасибо за программу http://stascorp.com/load/1-1-0-56 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 17 мая, 2018 · Жалоба Пароли открытым текстом в 2018 году , это конечно, виват латышам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 мая, 2018 · Жалоба 1 час назад, yKpon сказал: вот так роутерОС РЕШЕТО!!! спасибо за прогу =)))) Если бы ботнетописатели не меняли пароли, а просто создали возможность удаленного доступа для себя - вы бы и не заметили что оборудование используется для каких-то других нужд. 1 час назад, saaremaa сказал: Хм, спасибо за программу Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 17 мая, 2018 · Жалоба 5 минут назад, Saab95 сказал: Если бы ботнетописатели не меняли пароли, а просто создали возможность удаленного доступа для себя - вы бы и не заметили что оборудование используется для каких-то других нужд. Такие ботнеты тоже находили. Абонентские роутеры взламывали, понижали права для пользователя admin и делали себе полный доступ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yKpon Опубликовано 17 мая, 2018 · Жалоба 2 минуты назад, crank сказал: понижали права для пользователя admin и делали себе полный доступ. что собственно и сделали мне задушил вот так /ip service set api disabled=yes set api-ssl disabled=yes set ftp disabled=yes set www disabled=yes set telnet address=10.0.0.0/8 set ssh address=10.0.0.0/8 set winbox address=10.0.0.0/8 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TheUser Опубликовано 17 мая, 2018 · Жалоба "Уж сколько раз твердили миру"(с) Крылов Абонент - самое большое бедствие для провайдера, и не защищать сеть с его стороны глупо. Лупбэк детекшны, ACL, dhcp снупинги, Ip биндинги, порт изолейшны - все это прикручивают, чтобы отгородится от абонента. А тут менеджмент доступен со стороны абона... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 17 мая, 2018 · Жалоба 8 минут назад, TheUser сказал: А тут менеджмент доступен со стороны абона... mgmt vlan — это устаревшая технология. А там, где кастуется заклинание «устаревшая технология», проблем быть не может, если они есть, значит нужно сбросить Микротик и настроить его заново. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 17 мая, 2018 · Жалоба Цитата Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные. у нас "по старинке" изолированный vlan управления + полиси по ip в /ip service Машина с которой тестируем не имеет выхода в Интернет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 17 мая, 2018 (изменено) · Жалоба 4 hours ago, yKpon said: вот так роутерОС РЕШЕТО!!! Стоит уточнить - решетом его делает пользователь. То, что искапопки главная учетка называется гордым словом admin означает лишь то, что на девайсе заводские настройки. Однако очень многие добавляют пароль и на этом успокаиваются. admin, root, ubnt etc. - не лучшее имя суперпользователя. Далее - везде. 3 hours ago, Saab95 said: Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные. Отсылает найденные SSID, BSSID и пароли WI-FI в объединенную базу с привязкой к геолокации https://3wifi.stascorp.com/ Изменено 17 мая, 2018 пользователем DAF Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 17 мая, 2018 · Жалоба 9 минут назад, DAF сказал: admin, root, ubnt etc. - не лучшее имя суперпользователя. Какая разница, пусть хоть pu89f5h1teil3evk будет называться. Эти данные не подбираются, а извлекаются из устройства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Trueno Опубликовано 17 мая, 2018 (изменено) · Жалоба Офигеть - это ничего не сказать. Если с микротами 6.42.1 решает, то тп-линки и прочее открывается "на ура" Кстати, 6.42 оно пароль показывает. А проверил на более древней 6.20 - не показывает. Изменено 17 мая, 2018 пользователем Trueno Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 17 мая, 2018 · Жалоба 2 minutes ago, alibek said: Какая разница, пусть хоть pu89f5h1teil3evk будет называться. Эти данные не подбираются, а извлекаются из устройства. Я имел ввиду только начало процесса создания решета. Все остальное в следующей строке. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DAF Опубликовано 17 мая, 2018 · Жалоба 7 minutes ago, Trueno said: Офигеть - это ничего не сказать. Если с микротами 6.42.1 решает, то тп-линки и прочее открывается "на ура" Причем микротовцы пропатчили дыру в тот же день насколько я понял. Многие тплинки хоть логин:пароль не отдают (если не admin:admin), только SSID/BSSID WPA. ИМХО у ASUS и D-Link картина печальней. А так прога хорошее дополнение к KaliLinux для проверки уязвимостей своего сетевого хозяйства. И некоторым вендорам не дает расслабиться. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 18 мая, 2018 · Жалоба мда, сканер огонь, запустил на локалке провайдера... штук 30 тиков, так и хотелось зайти на каждый и настроить фаервол :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 18 мая, 2018 · Жалоба Он только винбокснутых ломает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 18 мая, 2018 · Жалоба В 16.05.2018 в 23:14, crank сказал: Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291). Караул. Просканировал абонентскую сетку, сходу нашлось полсотни дырявых роутеров или роутеров с простыми паролями (причем последних больше). У одного так вообще WiFi открытый (без пароля) и пароль на роутер заводской (admin/admin), причем это абонент из МКД. Микротиков, кстати, немного. Много TP-Link и откуда-то взялось несколько ZTE. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
.None Опубликовано 18 мая, 2018 · Жалоба 30 минут назад, VolanD666 сказал: Он только винбокснутых ломает? по наблюдениям там где web открыт, если только винбокс, то ничего не показывает Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
crank Опубликовано 18 мая, 2018 · Жалоба 1 час назад, .None сказал: по наблюдениям там где web открыт, если только винбокс, то ничего не показывает Судя по всему прога определяет тип роутера через web, а потом уже если видит микротик, то лезет в порт winbox. Поэтому и получается, что если только winbox светится, то прога молчит. Только это не значит, что кто-то другой не сможет получить доступ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 18 мая, 2018 · Жалоба Ну т.е. если открыт только SSH то можно не париться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mixtery Опубликовано 18 мая, 2018 · Жалоба 2 часа назад, crank сказал: Судя по всему прога определяет тип роутера через web, а потом уже если видит микротик, то лезет в порт winbox. Поэтому и получается, что если только winbox светится, то прога молчит. Только это не значит, что кто-то другой не сможет получить доступ. Не лазит RS по винбоксу, web only 44 минуты назад, VolanD666 сказал: Ну т.е. если открыт только SSH то можно не париться? Можно, если, конечно у вас там не admin:admin, root:admin, admin:root :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...