Jump to content
  • 0

Въпрос

px1

Здравейте, Хакнаха ми един mikrotik L4 на X86 платформа.

Беше ограничен за достъп само от 5 IP адреса и със спрени всички сървиси осен API и WINBOX

Има ли начин да се преинсталира флашката за да се запази лиценза ?

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Recommended Posts

  • 0
111111

С нетинстал би трябвало да се запази ключа
ако не е най наложителната машина пиши на

Моля, влезте или се регистрирайте, за да видите този link.

 
дано намерят какво по дяволите правят гадовете

 

п.с

И на последната го лекуват гадовете вече влизам само през ROMON
в Scheduler се появява някаква задача "а" която изпълнява скрипт с име "ip"
със следното съдържание:
 

Моля, влезте или се регистрирайте, за да видите този code.

админ акаунт и да няма се създава

включват се всички сървиси и им се махат ограниченията

Моля, влезте или се регистрирайте, за да видите този link.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
master

Как става достъпа при положение, че е ограничен само от 5 адреса?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
px1

Версията беше 6.42.5

Първоначално забелязах че че се появява PPTP сървис с име test и се появяваше маскарад на целя трафик и нов pool на DHCP и нови часни адреси.

Акаунта и паролите не бяха променени.

Веднага смених всички пароли и спрях сървисите освен API (заради Билинга) и WINBOX само от 5 IP адреса.

От петък сутринта вече нямам  достъп с акаунта си , но интернета на два от рутърите си върви , а на трети е спрял.

Третия е с бридж на два от портовете защото го ползвам и за суич.

Предполагам че хака се прави по някаква странна схема която чупи моята конфигурация на този рутър.

Утре ще купя нов CCR  и GR3 за да може после  netinstall да изтрия старите рутъри.

Предполагам чупят линукса и си оставят врата .

Редактирано от px1

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA
Преди 3 часа, master написа:

Как става достъпа при положение, че е ограничен само от 5 адреса?

Мисля проблема е в ползването на non-ssl API , а и по-добре след такъв пробив да се ползва последен бекъп, като му се сменят всички пароли и  се затвърди стената, чрез смяна на портове, динамични блек листи за брутфорс и сканери, уайт листи за достъп и т.н. преди да се подвърже към публичното пространство!

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
master

От години не се беше случвало да видя в лога IP адреси който са се опитвали да се конектнат. На един от микротиците за 24 часа са се опитвали тези :

195.43.95.9о
185.2о9.0.12
5.188.4о.99
5.188.4о.100
138.68.51.1о7
77.72.83.11едно

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
kokaracha

Достъп  от 5 адреса за всичко или само за изброените услуги ?

А  от кой адрес са се логнали първия път ?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111
Преди 10 часа, kokaracha написа:

Достъп  от 5 адреса за всичко или само за изброените услуги ?

А  от кой адрес са се логнали първия път ?

Няма лог за първия път защото по някакъв начин теглят базата с поребителите

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
Fibernet

Исто и кај мене хакнат един от два МТ ccr. Само winbox port е дозволен.

Редактирано от Fibernet

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
kokaracha
Преди 11 часа, 111111 написа:

Няма лог за първия път защото по някакъв начин теглят базата с поребителите

 

Няма много начини за това. Или са имали данните и достъп или ограничението по адреси не работи или не е конфигнато правилно ( локанли мрежи ?).

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111
Преди 9 часа, Fibernet написа:

Исто и кај мене хакнат един от два МТ ccr. Само winbox port е дозволен.

Точно през този порт става атаката.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
msboy

Явно Микротик го закъсаха относно сигурност. По неофициална информация знам че изпращането на файлове с вградения модул за изпращане на мейли също е бил компроментиран. Явно е въпрос на време да изпищят още хора. 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
px1

Здравейте,

преинсталирах си флашката без да губя лиценза използвайки описанието на MIKOROTIK

Моля, влезте или се регистрирайте, за да видите този link.

По въпроса с пробива прилагам преинсталация с netinstall , смяна на портовете и паролите и филтрация на портовете още във входящия рутър.

Ще изчакам няколко дни да видя има ли ефект.

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
kokaracha

Изглеждат глупаво  тези мерки щом  има проблем със сигурноста на самата система. По добре някакъв тунел с адмиснистративна */29 мрежа примерно би било доста по сигурно.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
pennywise

Е ако проблем с winbox само, може да се спре и да се ползва уеб интерфейса, или SSH и да се спрат всичко ненужни услуги.

Аз не разбрах дали със сигурност проблема е от winbox.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA

До колкото разбрах атаката е в две фази. В първа фаза се атакува устройство ползващо WinBOX и успява да прихване сторнатите юзъри и пароли в програмата чрез подмяна на файлове в преминаващият трафик и сторване на worm в него /говорим за ползване на WinBOX към публичен адрес и прихванат трафик/ и вече втора фаза е ясна относно изпълними скриптове и последващи отворени портове, добавени юзъри и т.н. Не ми стана точно техниката в първа фаза, но може и нарочно да не се споменава никъде с точност !

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
111111

Първата фаза е с директна атака към порта от където се получава базата с потребителите и паролите им.

Интересното е че има и трета фаза.
На локално ниво се сканират за други устройства в мрежите на рутера с публични адреси. /през CDP и MAK протокола вероятно/

т.е. в целият AS на доставчика.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
px1

След няколко дневно дебнене установих IP адреса от който се влиза в хакнатите ми устройства.

47.91.206.101

Първоначално се появяват около 8-12 правила за srcnat

После се появява PPTP конекция с профил test

После се сменя dhcp pool

Появява се user  admin.

точно тук го хванах и не знам какво става по-натам

Имам над 50 устройства с реални IP адреси, но се хакват само три от тях.

 

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
JohnTRIVOLTA

Добре де ако се ползва РП филтъра да е стрикт нямали да намли риска/ да допусне/ от друг сорс "инжекция" ? Лично аз го ползвам винаги точно за превенция в локалният сегмент и за сега нямам пробиви ... инак и аз в блек листи съм посъбрал доста адреси на тези сканиращи или форсващи обичайните портове, като ги дропя още в RAW хем по-малко ресурс черпи, хем важи и за двете вериги Input и Forward !

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
Щирлиц

Колега px1, а ти сигурен ли си, че някое устройство, от което достъпваш рутерите не е компрометирано?

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
px1

Това беше първото за което се сетих.

И си преинсталирах компютъра

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
Щирлиц
преди 2 минути, px1 написа:

Това беше първото за което се сетих.

И си преинсталирах компютъра

Аз лично бих пуснал и поне 2 независими  онлайн скенера за всеки случай ..... При преинсталиране не винаги се убиват гадовете - случвало ми се е да да успее да зарази флашката с дистрибутива. С 300 зора успях да си намеря 32 ГБ флашки с хардуерна защита за запис заради подобни проблеми.

  • Харесай 1

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
Fibernet

Аз преинсталирал сам га најновиот 6.42.6 и смених ги паролите и јузерите сега за сега добре е.

Сподели публикацията


Адрес на коментара
Сподели в други сайтове
  • 0
cna

Като говорим за такива...

Я кажете с какво whois-вате адрес, че на мен скоро не ми се е налагало, а от вчера имам един такъв:

Моля, влезте или се регистрирайте, за да видите този code.

 

Сподели публикацията


Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване

  • Similar Content

    • master
      От master
      Пускам темата информативно ако някой му се налага да прави такъв ъпдейт. Проблема се изрази с PPC платформа и няколко крайни клиента. След ъпдейта им спря интернета съответно след премахване на мак адреса на клиента от таблицата и добавянето му на ново всичко се оправи.
    • bgoptic
      От bgoptic
      Нови
      Powerbeam Gen2                           3бр                     150лв/бр 
      Rocket 5AC-Lite                              4бр                      150лв/бр
      SXT Lite5 ac                                    2бр                        70лв/бр
      Omnitik 5HacD                               1бр                       100лв/бр
      Захранване AD-155B                   1бр                         50лв/бр
      Ползвани
      Nanobridge m5-400                    1бр                          75лв/бр
      Groove 52nHP                              1бр                          55лв/бр
      SXT 5ac                                         1бр                          75лв/бр
       
      SXT Lite5 ac                                  1бр                          55лв/бр
      SXT Lite5                                       1бр                          50лв/бр
       
      За повече инфо телефон: +420 77 три 016 шест 17(viber) или на Л.С.
    • bgoptic
      От bgoptic
      Нови
      PowerBeam ac Gen2                                      2бр.                            160лв./бр.
      PowerBeam 5ac-300                                      1бр.                            130лв./бр.
      SXT 5HPacD SA                                            10бр.                            110лв./бр.
      SXT 5HacD2n                                                  4бр.                             75лв./бр.
      OmniTik G-5HacD                                           3бр                              130лв./бр.
      TP-Link TL-SG108                                          2бр.                              35лв./бр.
      TP-Link TL-SL2428                                          1бр.                            130лв./бр.
      POE Panel ZQ-POE-12-GUA                           1бр.                             65лв./бр.
      Injector Gigabit PoE 6 PORT                          5бр.                             35лв./бр.
      Захранване MeanWell AD-155B  24v           5бр.                            60лв./бр.
                             MeanWell AD-155C  48v           1бр.                            60лв./бр.
      Употребявани
      OmniTik U-5HnD                                           1бр.                        80лв./бр.
      SXT 5AC                                                        2бр.                         75лв./бр.
      SXT Lite5 AC                                                1бр.                         65лв./бр.
      SXT Lite5                                                      1бр.                         60лв./бр.
      SXT 5nDr2                                                    2бр.                         50лв./бр.
      Nanobridge m5-400                                    1бр.                         75лв./бр.
                                                  
      За повече инфо телефон: +420 77 три 016 шест 17(viber) или на Л.С.
    • helco
      От helco
      Продавам употребяван Mikrotik Cloud Core Router CCR1036-12G-4S-EM.

      За по-подробна информация
      Моля, влезте или се регистрирайте, за да видите този link.


      Цена: 1099 лв.

      Забележки:

      • Не се интересувам от бартери !

      • Компонентите нямат валидна гаранция, но са тествани на 100% и тяхната безпроблемна работоспособност е гарантирана !

      • Всичко се намира в град Пловдив. При интерес от други населени места, може да се ползва куриерска услуга с наложен платеж за сметка на получателя !

      • Начини за връзка: телефон - O 888 698867
      Моля, влезте или се регистрирайте, за да видите този attachment.
      Моля, влезте или се регистрирайте, за да видите този attachment.
      Моля, влезте или се регистрирайте, за да видите този attachment.

    • ivanof
      От ivanof
      Здравейте, може ли някой да ми подскаже каква атена трябва да си купя, за да мога да се закача към роднини на около 200 метра, не пряка видимост (може да се постигне и пряка видимост, като закача антената на 6метров кол)? Желателно е да е mikrotik, защото ми трябва стабилност. Антената трябва да е външна и да може да се настрои към вече съществуващ mikrotik, който има 100м/б интернет, а антената да се ползва като резервен вариант за интернет.
      Тази глупост ми трябва , защото все някакъв проблем има при доставчика!
  • Потребители разглеждащи страницата   0 потребители

    No registered users viewing this page.

×

Important Information

By using this site, you agree to our Terms of Use.