Перейти к содержимому
Калькуляторы

Ботнет взломал сеть

Всем доброго вечера! случилась неприятность, вчера ботнет ломанул админский пароль на клиентских СРЕ, да мой косяк что порты были открыты во внешку, хакнуто более 100-ни тиков

 

удалён admin и создан system с доступом из 23.0.0.0/8

e71b08adaa88cf7a6949782e8aef877f.png
https://gyazo.com/e71b08adaa88cf7a6949782e8aef877f

 

негодяями добавлено:

 

/ip pool
add name=vpnx ranges=192.168.77.1-192.168.77.10
/ppp profile
add dns-server=8.8.8.8 local-address=192.168.77.254 name=vpnx rate-limit=5m/5m remote-address=vpnx
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=yes max-mru=1460 max-mtu=1460
/ip cloud
set ddns-enabled=yes
/ip firewall nat
add action=masquerade chain=srcnat
/ppp secret
add name=ros password=1234 profile=vpnx

 

на часть тиков я могу зайти по радиусу и почистить, но на части не настроена авторизация по радиусу

есть ли шанс зайти под админом system? сэмулировать подсеть 23.0.0.0/8 это понятно, но может кто уже сталкивался и известен пароль?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
42 minutes ago, crank said:

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

Но достаточно выключить webfig или (а лучше И) сменить port 8291 - и  эта крутая (а действительно так) прога не срабатывает даже при ненастроенном файерволе. 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@DAF , так и есть, но в сети еще очень много тиков, у которых всё включено, порты стандартные и фаервол ненастроен.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 часов назад, crank сказал:

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

вот так роутерОС РЕШЕТО!!! спасибо за прогу =))))

 

уязвимость на 80 порту, логин system пароль Aa142636

 

нет слов, одни эмоции =))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пароли открытым текстом в 2018 году , это конечно,  виват латышам.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, yKpon сказал:

вот так роутерОС РЕШЕТО!!! спасибо за прогу =))))

Если бы ботнетописатели не меняли пароли, а просто создали возможность удаленного доступа для себя - вы бы и не заметили что оборудование используется для каких-то других нужд.

 

1 час назад, saaremaa сказал:

Хм, спасибо за программу

Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
5 минут назад, Saab95 сказал:

Если бы ботнетописатели не меняли пароли, а просто создали возможность удаленного доступа для себя - вы бы и не заметили что оборудование используется для каких-то других нужд.

Такие ботнеты тоже находили. Абонентские роутеры взламывали, понижали права для пользователя admin и делали себе полный доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 минуты назад, crank сказал:

понижали права для пользователя admin и делали себе полный доступ.

что собственно и сделали мне

 

задушил вот так

/ip service
set api disabled=yes
set api-ssl disabled=yes
set ftp disabled=yes
set www disabled=yes
set telnet address=10.0.0.0/8
set ssh address=10.0.0.0/8
set winbox address=10.0.0.0/8

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

"Уж сколько раз твердили миру"(с) Крылов

Абонент - самое большое бедствие для провайдера, и не защищать сеть с его стороны глупо.

Лупбэк детекшны, ACL, dhcp снупинги, Ip биндинги, порт изолейшны - все это прикручивают, чтобы отгородится от абонента. А тут менеджмент доступен со стороны абона...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
8 минут назад, TheUser сказал:

А тут менеджмент доступен со стороны абона...

mgmt vlan — это устаревшая технология.

А там, где кастуется заклинание «устаревшая технология», проблем быть не может, если они есть, значит нужно сбросить Микротик и настроить его заново.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Цитата

Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные.

у нас "по старинке" изолированный vlan управления + полиси по ip в /ip service

Машина с которой тестируем не имеет выхода в Интернет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 hours ago, yKpon said:

вот так роутерОС РЕШЕТО!!!

Стоит уточнить - решетом его делает пользователь. То, что искапопки главная учетка называется гордым словом admin означает лишь то, что на девайсе заводские настройки. Однако очень многие добавляют пароль и на этом успокаиваются.

admin, root, ubnt etc. - не лучшее имя суперпользователя. 

Далее - везде.

3 hours ago, Saab95 said:

Прежде чем ее использовать установите, хотя бы, ограничения доступа в сеть для нее, т.к. она устанавливает соединения с какими-то ресурсами интернета и туда передает какие-то данные.

Отсылает найденные SSID, BSSID и пароли WI-FI в объединенную базу с привязкой к геолокации  https://3wifi.stascorp.com/

 

Изменено пользователем DAF

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
9 минут назад, DAF сказал:

admin, root, ubnt etc. - не лучшее имя суперпользователя.

Какая разница, пусть хоть pu89f5h1teil3evk будет называться.

Эти данные не подбираются, а извлекаются из устройства.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Офигеть - это ничего не сказать.

Если с микротами 6.42.1 решает, то тп-линки и прочее открывается "на ура"

 

Кстати, 6.42 оно пароль показывает. А проверил на более древней 6.20 - не показывает.

Изменено пользователем Trueno

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 minutes ago, alibek said:

Какая разница, пусть хоть pu89f5h1teil3evk будет называться.

Эти данные не подбираются, а извлекаются из устройства.

Я имел ввиду только начало процесса создания решета. Все остальное в следующей строке. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 minutes ago, Trueno said:

Офигеть - это ничего не сказать.

Если с микротами 6.42.1 решает, то тп-линки и прочее открывается "на ура"

Причем микротовцы пропатчили дыру в тот же день насколько я понял.

 

Многие тплинки хоть логин:пароль не отдают (если не admin:admin), только SSID/BSSID WPA.

ИМХО у ASUS и D-Link картина печальней.

 

А так прога хорошее дополнение к KaliLinux для проверки уязвимостей своего сетевого хозяйства. И некоторым вендорам не дает расслабиться.  :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

мда, сканер огонь, запустил на локалке провайдера... штук 30 тиков, так и хотелось зайти на каждый и настроить фаервол :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Он только винбокснутых ломает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В ‎16‎.‎05‎.‎2018 в 23:14, crank сказал:

Пароли подбирать даже не надо. Если прошивка не последняя (6.42.1 current release или 6.40.8 bugfix only), то вот эта прога http://stascorp.com/load/1-1-0-56 сканирует и показывает пароли используя уязвимость на порту winbox (8291).

Караул.

Просканировал абонентскую сетку, сходу нашлось полсотни дырявых роутеров или роутеров с простыми паролями (причем последних больше).

У одного так вообще WiFi открытый (без пароля) и пароль на роутер заводской (admin/admin), причем это абонент из МКД.

 

Микротиков, кстати, немного.

Много TP-Link и откуда-то взялось несколько ZTE.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
30 минут назад, VolanD666 сказал:

Он только винбокснутых ломает?

по наблюдениям там где web открыт, если только винбокс, то ничего не показывает

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, .None сказал:

по наблюдениям там где web открыт, если только винбокс, то ничего не показывает

Судя по всему прога определяет тип роутера через web, а потом уже если видит микротик, то лезет в порт winbox. Поэтому и получается, что если только winbox светится, то прога молчит. Только это не значит, что кто-то другой не сможет получить доступ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну т.е. если открыт только SSH то можно не париться?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, crank сказал:

Судя по всему прога определяет тип роутера через web, а потом уже если видит микротик, то лезет в порт winbox. Поэтому и получается, что если только winbox светится, то прога молчит. Только это не значит, что кто-то другой не сможет получить доступ.


Не лазит RS по винбоксу, web only

 

 

44 минуты назад, VolanD666 сказал:

Ну т.е. если открыт только SSH то можно не париться?


Можно, если, конечно у вас там не admin:admin, root:admin, admin:root :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас