Jump to content
Калькуляторы

Хроники выживания нанооператора: взлом взломанного МикроТика

Материал: Моя история начинается, как и все подобные. Ночной звонок от коллег, прерванный сон, сообщение "нас взломали". Полный текст

Share this post


Link to post
Share on other sites

В 06.10.2022 в 12:19, Гость сказал:

Сами фашисты-латвийцы и сломали...

Ну после взлома цисок, в которых управление не имело доступа в интернет, я уже ничему не удивляюсь.

Share this post


Link to post
Share on other sites

В 06.10.2022 в 13:52, ayf сказал:

Ну после взлома цисок, в которых управление не имело доступа в интернет, я уже ничему не удивляюсь.

Тоесть вариант, что сначала нашли дыру внутри периметра, а оттуда уже сломали, он совсем не рассматривается ?

Share this post


Link to post
Share on other sites

Резюме:

Микротик - редкостное гавно, но лучше за эти деньги ничего и не найти.

 

З.Ы.

Ребят жалко, но нано-операторам под солнцем места не будет скоро, впрочем как и всем остальным, кроме большой четверки.

Share this post


Link to post
Share on other sites

В 06.10.2022 в 14:09, st_re сказал:

Тоесть вариант, что сначала нашли дыру внутри периметра, а оттуда уже сломали, он совсем не рассматривается ?

Да тогда массовый взлом был. Когда вланы стирали и на их место американский флаг вставляли

 

Share this post


Link to post
Share on other sites

Guest
Т.е. вас не смутило что в сети какое-то время стояло устройство, которое управлялось кем-то другим? И вы считаете это нормально?

То что управление было доступно всем кроме группы админов, это тоже нормально?

Share this post


Link to post
Share on other sites

Дилетанты.

 

1. Это не БИОС, нету там никакого биоса, не было и быть не может. Прочитайте в википедии что такое БИОС.

На мелкой флешке обычно размещается загрузчик типа u-boot с его настройками, иногда там же линуксовое ядро.

 

2. Настройки этого загрузчика обычно защищаются CRC а не хэшем.

 

3. Юзайте линукс напрямую, нахрена вам этот микротик!?

В железку скорее всего можно влить OpenWRT, чтобы не выбрасывать.

А лучше было сразу поставить тазик х86 и линухом, там ничего подобного и близко бы не случилось при восстановлении.

Share this post


Link to post
Share on other sites

В 08.10.2022 в 15:30, Ivan_83 сказал:

Дилетанты.

 

1. Это не БИОС, нету там никакого биоса, не было и быть не может. Прочитайте в википедии что такое БИОС.

На мелкой флешке обычно размещается загрузчик типа u-boot с его настройками, иногда там же линуксовое ядро.

 

2. Настройки этого загрузчика обычно защищаются CRC а не хэшем.

 

3. Юзайте линукс напрямую, нахрена вам этот микротик!?

В железку скорее всего можно влить OpenWRT, чтобы не выбрасывать.

А лучше было сразу поставить тазик х86 и линухом, там ничего подобного и близко бы не случилось при восстановлении.

железку в истории выше восстановили.

у меня востановление в такой ситуации заняло минут 40, ну видать кому-то проще купить новую.

 

главным достоинством микротика против "поставьте линукс" является промышленная повторяемость результата.

 

 

Share this post


Link to post
Share on other sites

В 09.10.2022 в 16:09, LostSoul сказал:

главным достоинством микротика против "поставьте линукс" является промышленная повторяемость результата

с заваливанием микротиков в том числе.

Share this post


Link to post
Share on other sites

В 09.10.2022 в 15:43, straus сказал:

с заваливанием микротиков в том числе.

завалить можно все.

повально зашифрованные вирусами сервера вам ни о чём не говорят?

в ситуации с микротиком есть уверенность в том, что конфигурация работавшая одним образом на стенде, будет таким же образом работать в проде.

а а "взаимное сочетание 50 конфигов, где тут запятую забыл а тут перевод строки, а тут аттрибут +x на файл на поставил" и поэтому все рухнуло минут на 20.

ну или не на 20 а пока админ с ноутбуком не доедет

Share this post


Link to post
Share on other sites

Цитата

сделать все это можно простым программатором CH341A с прищепкой.

Далеко не всегда.

С прищепкой в принципе не комфортно работать: она то слетает то контакт теряется то ещё какие то наводки.

В некоторых разводках питания от программатора не хватает или линии данных сильно проседают и прочитать/записать не возможно, только выпаивание.

Паять лучше феном - сплошное удовольствие и минимум риска повредить плату.

 

С программаторов хорошие 866 про в2 китайские, есть софт под линукс. Кажется 900 появились, лучше почитать на гитлабе где опенсорц лежит на предмет улучшений и поддержки.

Share this post


Link to post
Share on other sites

В 09.10.2022 в 13:09, LostSoul сказал:

железку в истории выше восстановили.

у меня востановление в такой ситуации заняло минут 40, ну видать кому-то проще купить новую.

Охренеть как восстановили.

Сервис вендора послал в магазин за новой, и только местные хакеры осилили спасти из помойки девайс, который в лучшем случае пошёл бы на запчасти.

 

В 09.10.2022 в 13:09, LostSoul сказал:

главным достоинством микротика против "поставьте линукс" является промышленная повторяемость результата.

Если у вас на линухе не получается повторяемого результата - это целиком ваша проблема.

У меня и с OpenWRT результат повтояем и на FreeBSD десктопы почти идентичные, а десктоп это вам не какой то сервер, тут одних портов 700+ стоит, плюс дров на железо сильно больше обычного.

 

В целом же, повторяемость на линухе/бсд это уже ближе к девопс, потому что требуется чуть больше чем просто мышковозить в винбоксе: нужна система где будут конфиги лежать, несколько уровней от базового до специфичных для определённых ролей и самый последний уровень это конфиги специфичные для определённой инсталяции.

У меня дома 3 уровня конфигов: базовый - раскатывается везде, специфичный для роли (сервер/десктоп) и то что накручено уже по месту под конкретное железо или конкретное применение.

Никаких проблем с повторяемостью нет, более того я любую инсталяцию фри могу довольно быстро ассимилировать.

Share this post


Link to post
Share on other sites

В 09.10.2022 в 16:43, Ivan_83 сказал:

Сервис вендора послал в магазин за новой, и только местные хакеры осилили спасти из помойки девайс, который в лучшем случае пошёл бы на запчасти.

У вас в жизни были другие кейсы?

Ну вот реально хоть один случай когда бы поддержка вендора могла помочь?

В моей жизни таких случаев 0.

решить проблемы с которыми может помочь поддержка я могу и без неё.

 

а востановление данных eprom нормальная процедура.

и тут не надо было каких то мега-сложных манипуляций.

прищепка чтоб вычитать с одной платы той-же ревизии и прищепка чтоб залить в другую.

 

 

В 09.10.2022 в 16:43, Ivan_83 сказал:

Если у вас на линухе не получается повторяемого результата - это целиком ваша проблема.

сказки рассказывайте своим деткам на ночь.

 

я вашу ситуацию хорошо помню по прошлым годам обсуждений.

узел в соседней комнате и возле узла круглосуточный дежурный.

не сравнивайте это с сетями где узлы раскиданы по городу/стране хрен знает где куда лететь 2 дня.

 

не будешь у вас клавиш с монитором в соседней комнате, ваш бизнес бы вынесли уже вперед ногами

 

 

В 09.10.2022 в 16:43, Ivan_83 сказал:

Никаких проблем с повторяемостью нет, более того я любую инсталяцию фри могу довольно быстро ассимилировать.

вы даже не понимаете о чём речь.

роли у него "сервер/десктоп".

 

Рассуждения типичного админа локалхоста.

И про настройку микротика "галочками в винбоксе" из той же серии.

 

Share this post


Link to post
Share on other sites

В 09.10.2022 в 17:25, LostSoul сказал:

повально зашифрованные вирусами сервера вам ни о чём не говорят?

линуксовые? видел несколько раз в жизни (точно по пальцам одной руки можно пересчитать) какую-то живность, каждый раз это было «вау, оно всё-таки существует», и каждый раз это была парольная авторизация в ssh и слабые пароли (и уже много лет, как сервера, глядящие в интернет, я настраиваю исключительно на авторизацию по ключам).

 

да, я знаю, что существуют и другие уязвимости, но в диком виде не довелось встретить.

Share this post


Link to post
Share on other sites

В 09.10.2022 в 20:50, LostSoul сказал:

востановление данных eprom нормальная процедура.

и тут не надо было каких то мега-сложных манипуляций.

Гораздо проще наклепать пачку флешек по цене 10 баксов за пучок, чем ковырять епром

Share this post


Link to post
Share on other sites

В 09.10.2022 в 14:50, LostSoul сказал:

Ну вот реально хоть один случай когда бы поддержка вендора могла помочь?

Как последняя линия поддержки в вендоре могу сказать что помогаем.

Но сильно зависит от того насколько оно повторяемо и насколько клиент выносит моск.

 

В 09.10.2022 в 14:50, LostSoul сказал:

а востановление данных eprom нормальная процедура.

и тут не надо было каких то мега-сложных манипуляций.

Вы это ТП мыкротика расскажите, потому что хакинг с флешками это далеко за рамками того как работает коробочное решение.

 

В 09.10.2022 в 14:50, LostSoul сказал:

прищепка чтоб вычитать с одной платы той-же ревизии и прищепка чтоб залить в другую.

Прищепка не всегда работает, увы.

 

В 09.10.2022 в 14:50, LostSoul сказал:

я вашу ситуацию хорошо помню по прошлым годам обсуждений.

узел в соседней комнате и возле узла круглосуточный дежурный.

не сравнивайте это с сетями где узлы раскиданы по городу/стране хрен знает где куда лететь 2 дня.

И да и нет. )

У меня остался один мыкротык в сибири и два сервера с фрёй в мск, сам я где то в 1к км от мск.

Ещё в мск один десктоп который я тоже суппортю.

Это из моего личного хозяйства.

На работе десктоп и пара серверов которые на мне.

 

Если всё делать аккуратно то даже мажорное обновление ОС можно накатить удалённо, а просто обновление портов и системы это рутина.

Хватает для всего этого обычного ссш.

 

 

В 09.10.2022 в 17:23, edo сказал:

а как управляете конфигами, версиями пакетов?

На фре рсинк, на опенврт - бэкап/ресторе через вебгуй.

На опенврт у меня относительно простые конфиги.

Share this post


Link to post
Share on other sites

В 09.10.2022 в 17:50, LostSoul сказал:

Ну вот реально хоть один случай когда бы поддержка вендора могла помочь?

С Cisco всякое бывало, бывало даже недостижимое пока для MT явление, как отзыв и замена. Но денег такая поддержка стоила много, да.

 

В 09.10.2022 в 20:07, edo сказал:

линуксовые? видел несколько раз в жизни (точно по пальцам одной руки можно пересчитать) какую-то живность, каждый раз это было «вау, оно всё-таки существует», и каждый раз это была парольная авторизация в ssh и слабые пароли (и уже много лет, как сервера, глядящие в интернет, я настраиваю исключительно на авторизацию по ключам).

C Heartbleed насмотрелся, шифровать не шифровали, но майнер или ботнет - запросто.

 

 

Share this post


Link to post
Share on other sites

В 09.10.2022 в 20:47, Ivan_83 сказал:

опенврт - бэкап/ресторе через вебгуй.

не, ну это совсем не промышленное решение, даже на дестках устройств это не вариант )

Share this post


Link to post
Share on other sites

Ну, с Ansible и прочим configuration-driven нет особой разницы, что тазы с линухом, что тазы с xxxWRT, что MT (причем, скорее тазы с МТ в нынешних условиях). Разница сводится к первичным затратам на написание плейбука, типа час или полтора, и к адаптации шаблона к интерфейсам конкретной коробки. Даже всякие оптимизации - такое, не заморачиваться, памяти в тазах и дури в процах нычне столько, что нужен реальный хайлоад чтобы во что-то там стукнуться, стояшее вышивания бисером. Можно жопой бубунту поставить и 10Gb/s вытащить, не приходя в сознание.

Share this post


Link to post
Share on other sites

В 09.10.2022 в 18:10, edo сказал:

не, ну это совсем не промышленное решение, даже на дестках устройств это не вариант )

У меня как раз до десятка :)

И меня больше заботит автоматизация сборки, тк некоторые девайсы не вошли в OpenWRT.

Share this post


Link to post
Share on other sites

В 09.10.2022 в 22:02, Ivan_83 сказал:

И меня больше заботит автоматизация сборки, тк некоторые девайсы не вошли в OpenWRT.

а почему просто не послать патчи в апстрим?

 

 

В 09.10.2022 в 21:35, jffulcrum сказал:

Ну, с Ansible и прочим configuration-driven нет особой разницы, что тазы с линухом, что тазы с xxxWRT, что MT

ну для кучи мелких роутеров больше вероятность, что какой-нибудь прямо сейчас будет оффлайн, так что больше подходит pull-модель, чем push, так что ansible напрямую выглядит не самым лучшим вариантом.

 

можно наколхозить какую-то свою инфрастуктуру, но наверняка же всё украдено до нас.

увы, пока я смог найти только https://github.com/openwisp/openwisp-controller который выглядит просто ужасным оверкиллом

openwisp-architecture.svg

Share this post


Link to post
Share on other sites

Да, кстати. Для особо ленивых к Open-WRT была написана надстройка X-WRT - полноценный GUI для всех функций, а не только основных. Правда одно время её похерили, не знаю, как сейчас. Так вот вполне юзабельно (для любителей гуя).

Помню, несколько лет назад был спор GUI vs CLI. Так вот на X-WRT паренёк сделал всё намного быстрее, чем опытный мужик в CLI. Хотя это неспортивно.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.