После взлома шлюза....

[DobroFenix]

Добрый день.

Ломаю голову уже на протяжение нескольких недель.

Есть шлюз mikrotik

С 2мя физическими портами

На каждый порт приходит по коммутатору

2 этих порта объединяются вместе в bridge

До недавнего времени всё работало отлично.

 

Но после взлома микротика и напихивания в него говнища в виде левых правил он начал очень странно работать:

У всего, что подключено во второй порт шлюза, перестали работать расшаренные папки(общий доступ).

После взлома Я почистил все правила и вернул фаервол в исходный вид, обновил микротик, но проблема не исчезла.

Категорически отказываются открываться расшаренные папки ссылаясь на НЕВЕРНОЕ ИМЯ ХОСТА -- будто его и не существует, хотя пинг и даже rdp отлично работаю.

 

Прошу помощи.

Восстановить конфигурацию из бекапа нет возможности, так как после атаки были внесены некие критические изменения в конфигурацию и взлом был пропущен.

В каком направление смотреть?

 

 

[Saab95]

Посмотрите фильтры бриджа, как вариант, а так же настройки SSH, возможно где-то левые сертификаты остались и трафик все равно в туннель куда-то в интернет уходит.

[DobroFenix]

В ipsec были левые правила -- всё отключил.

В фаерволе только список заблокированных ip адресов, с которых валится мусор.

 

[DobroFenix]

Без изменений.....

 

[Voldurike]

Сделайте export настроек в консоле и просмотрите конфиг. Возможно так поймете где что добавлено

[maxkst]

Мне попадался MT с такой странностью - в самом начале лога - единственная строка, отражающая последнее изменение.

Если что-то поменять - содержимое этой строки так же меняется, соответственно,  предыдущая исчезает.

Подробнее изучить не удалось, но роутер тот торчал голой ж. в интернет. 

[AlexPan]

А скинуть в дефолт и заново настроить религия не позволяет? Вряд ли там переписан даже дефолтный конфиг. Больше времени потратите на поиск, чем на на заново настроить!