Хакнат микротик

[px1]

Здравейте, Хакнаха ми един mikrotik L4 на X86 платформа.

Беше ограничен за достъп само от 5 IP адреса и със спрени всички сървиси осен API и WINBOX

Има ли начин да се преинсталира флашката за да се запази лиценза ?

 

[pennywise]

Е ако проблем с winbox само, може да се спре и да се ползва уеб интерфейса, или SSH и да се спрат всичко ненужни услуги.

Аз не разбрах дали със сигурност проблема е от winbox.

[JohnTRIVOLTA]

До колкото разбрах атаката е в две фази. В първа фаза се атакува устройство ползващо WinBOX и успява да прихване сторнатите юзъри и пароли в програмата чрез подмяна на файлове в преминаващият трафик и сторване на worm в него /говорим за ползване на WinBOX към публичен адрес и прихванат трафик/ и вече втора фаза е ясна относно изпълними скриптове и последващи отворени портове, добавени юзъри и т.н. Не ми стана точно техниката в първа фаза, но може и нарочно да не се споменава никъде с точност !

[111111]

Първата фаза е с директна атака към порта от където се получава базата с потребителите и паролите им.

Интересното е че има и трета фаза.
На локално ниво се сканират за други устройства в мрежите на рутера с публични адреси. /през CDP и MAK протокола вероятно/

т.е. в целият AS на доставчика.

[px1]

След няколко дневно дебнене установих IP адреса от който се влиза в хакнатите ми устройства.

47.91.206.101

Първоначално се появяват около 8-12 правила за srcnat

После се появява PPTP конекция с профил test

После се сменя dhcp pool

Появява се user  admin.

точно тук го хванах и не знам какво става по-натам

Имам над 50 устройства с реални IP адреси, но се хакват само три от тях.

 

 

[JohnTRIVOLTA]

Добре де ако се ползва РП филтъра да е стрикт нямали да намли риска/ да допусне/ от друг сорс "инжекция" ? Лично аз го ползвам винаги точно за превенция в локалният сегмент и за сега нямам пробиви ... инак и аз в блек листи съм посъбрал доста адреси на тези сканиращи или форсващи обичайните портове, като ги дропя още в RAW хем по-малко ресурс черпи, хем важи и за двете вериги Input и Forward !

[Щирлиц]

Колега px1, а ти сигурен ли си, че някое устройство, от което достъпваш рутерите не е компрометирано?

[px1]

Това беше първото за което се сетих.

И си преинсталирах компютъра

[Щирлиц]

преди 2 минути, px1 написа:

Това беше първото за което се сетих.

И си преинсталирах компютъра

Аз лично бих пуснал и поне 2 независими  онлайн скенера за всеки случай ..... При преинсталиране не винаги се убиват гадовете - случвало ми се е да да успее да зарази флашката с дистрибутива. С 300 зора успях да си намеря 32 ГБ флашки с хардуерна защита за запис заради подобни проблеми.

[Fibernet]

Аз преинсталирал сам га најновиот 6.42.6 и смених ги паролите и јузерите сега за сега добре е.

[cna]

Като говорим за такива...

Я кажете с какво whois-вате адрес, че на мен скоро не ми се е налагало, а от вчера имам един такъв:

jul/25 14:04:43 system,error,critical login failure for user support from 46.148.20.25 via ssh

 

[master]

Ping dot eu, ssh порта 22 ли е?

[cna]

преди 18 минути, master написа:

Ping dot eu, ssh порта 22 ли е?

ами не е... това е изненадващото за мен

и е едно от първите неща които правя

[gbdesign]

преди 41 минути, cna написа:

Като говорим за такива...

Я кажете с какво whois-вате адрес, че на мен скоро не ми се е налагало, а от вчера имам един такъв:

jul/25 14:04:43 system,error,critical login failure for user support from 46.148.20.25 via ssh

 

https://www.ip2location.com/

[IvanRalchev]

Има ли основание да се смята, че на хакнатите микротици е подслушван трафика за пароли и регистрации?

[msboy]

Преди 11 часа, IvanRalchev написа:

Има ли основание да се смята, че на хакнатите микротици е подслушван трафика за пароли и регистрации?

Компрометирани са много неща включително трафик и регистрации но от Микротик отричат или си мълчат културно.  Според тебе човек който е проникнал в рутера ти и е сменил админската парола няма да види трафика, регистрации и т.н.т ли ? Тепърва предстоят поразиите от този ГОЛЯМ БЪГ.  А може би целта са правителствени или други организации не се знае с точност. А тези които знаят подробности мълчат  защото за да не подтикнат и други хакери. А може би държат паролите в база данни и си проникват когато си искат  един БОГ знае. Очертава се като гламави да обикаляме и с Netinstall да си възстановяваме правата върху собствените рутери. Принципа е няма 100% сигурна система и никой луд не създава отрова без първо да създаде противоотрова !!!.