Výpadek hkfree

[menicks]

Správa ESXi není dostupná z internetu. Je na samostatné FYZICKÉ síťové kartě (s povoleným vnitřním segmentem IP), která je dostupná jen z fyzické vnitřní sítě. Na síťových kartách, které slouží pro MK a další VM je zablokovaná správa ESXi.

S těmi staršími databázemi uživatelů a hesel to nemůžu vyloučit. Dlouho dobu tam byla verze 6.40.8-9 BugFix (teď už si nejsem jistý jestli x.8 nebo x.9). Po internetovém haló s napadením MK jsme vše na páteři aktualizovali na verzi 6.42.6 (6.42.7 ještě nebyla).

6.40.8 ani 6.40.9 neni Winboxexploitem hacknutelna. hesla musely uniknout jeste ze starsich verzi.

Není? hodte mi to někam na veřejku 6.28 (včetně) - až 6.42 (6.42.1 už nejde)

[radik]

Ahoj,
Další byl sofistikovanější, ale také neprošel mrzák naštěstí na další stroje:

No tady nejde ani tak o utok, jako o to, ze nekdo hodny toho vyuzil a nastavil ti firewall, aby to neslo napadnout. Jako podekovani mu mas poslat nejaky prachy...

[radik]

tak Vám nevím, v pondělí nasazen nový x86 router, verze 6.42.6, v noci na dnešek jsem přišel o přístup na tu mašinu, v services byl jen SSH a winbox, porty změněny, firewall taky nakonfigurován, admin, a nové heslo, silné, zatím to dělá co má jen SSH i winbox jsou neaktivní, jede telnet, ale evidentně je tam jiné heslo, v noci ho nahradím CCRkem, vyměním v té mašině SSD a znova nainstaluju, z toho původního SSD půjde něco zkoumat??? díky

Tak posli firewall, to neni mozny. Vsichni pisete ze mate firewall, ale nikdo nepastl konfiguraci kdyz resi problem. Porty měnit je uplně zbytecny, protože časem si to stejně utocnik najde.
Jak muze jet telnet?! Jede jako ze se tam snazi nekdo pripojovat? To pak firewall neni moc funkcni.

[Dr.Easy]

tak Vám nevím, v pondělí nasazen nový x86 router, verze 6.42.6, v noci na dnešek jsem přišel o přístup na tu mašinu, v services byl jen SSH a winbox, porty změněny, firewall taky nakonfigurován, admin, a nové heslo, silné, zatím to dělá co má jen SSH i winbox jsou neaktivní, jede telnet, ale evidentně je tam jiné heslo, v noci ho nahradím CCRkem, vyměním v té mašině SSD a znova nainstaluju, z toho původního SSD půjde něco zkoumat??? díky

Tak posli firewall, to neni mozny. Vsichni pisete ze mate firewall, ale nikdo nepastl konfiguraci kdyz resi problem. Porty měnit je uplně zbytecny, protože časem si to stejně utocnik najde.
Jak muze jet telnet?! Jede jako ze se tam snazi nekdo pripojovat? To pak firewall neni moc funkcni.

Včera jsme řešili taky napadený, snad posledni router.. Za firewallem, povolené jen SSH a na jiném portu, povoleny win box na jiném portu a www zakázáno, telnet zakázán. A měl disabnute iface. Všechny. Scripty nahrané, scheduler aktivní.

[menicks]

tak Vám nevím, v pondělí nasazen nový x86 router, verze 6.42.6, v noci na dnešek jsem přišel o přístup na tu mašinu, v services byl jen SSH a winbox, porty změněny, firewall taky nakonfigurován, admin, a nové heslo, silné, zatím to dělá co má jen SSH i winbox jsou neaktivní, jede telnet, ale evidentně je tam jiné heslo, v noci ho nahradím CCRkem, vyměním v té mašině SSD a znova nainstaluju, z toho původního SSD půjde něco zkoumat??? díky

Tak posli firewall, to neni mozny. Vsichni pisete ze mate firewall, ale nikdo nepastl konfiguraci kdyz resi problem. Porty měnit je uplně zbytecny, protože časem si to stejně utocnik najde.
Jak muze jet telnet?! Jede jako ze se tam snazi nekdo pripojovat? To pak firewall neni moc funkcni.

Včera jsme řešili taky napadený, snad posledni router.. Za firewallem, povolené jen SSH a na jiném portu, povoleny win box na jiném portu a www zakázáno, telnet zakázán. A měl disabnute iface. Všechny. Scripty nahrané, scheduler aktivní.

Jaká verze fw?

[radik]

tak Vám nevím, v pondělí nasazen nový x86 router, verze 6.42.6, v noci na dnešek jsem přišel o přístup na tu mašinu, v services byl jen SSH a winbox, porty změněny, firewall taky nakonfigurován, admin, a nové heslo, silné, zatím to dělá co má jen SSH i winbox jsou neaktivní, jede telnet, ale evidentně je tam jiné heslo, v noci ho nahradím CCRkem, vyměním v té mašině SSD a znova nainstaluju, z toho původního SSD půjde něco zkoumat??? díky

Tak posli firewall, to neni mozny. Vsichni pisete ze mate firewall, ale nikdo nepastl konfiguraci kdyz resi problem. Porty měnit je uplně zbytecny, protože časem si to stejně utocnik najde.
Jak muze jet telnet?! Jede jako ze se tam snazi nekdo pripojovat? To pak firewall neni moc funkcni.

Včera jsme řešili taky napadený, snad posledni router.. Za firewallem, povolené jen SSH a na jiném portu, povoleny win box na jiném portu a www zakázáno, telnet zakázán. A měl disabnute iface. Všechny. Scripty nahrané, scheduler aktivní.

Tak posli firewall do SZ pokud ho nechces hodit sem (pripadne do SZ cely export).

[Dalibor Toman]

Správa ESXi není dostupná z internetu. Je na samostatné FYZICKÉ síťové kartě (s povoleným vnitřním segmentem IP), která je dostupná jen z fyzické vnitřní sítě. Na síťových kartách, které slouží pro MK a další VM je zablokovaná správa ESXi.

S těmi staršími databázemi uživatelů a hesel to nemůžu vyloučit. Dlouho dobu tam byla verze 6.40.8-9 BugFix (teď už si nejsem jistý jestli x.8 nebo x.9). Po internetovém haló s napadením MK jsme vše na páteři aktualizovali na verzi 6.42.6 (6.42.7 ještě nebyla).

6.40.8 ani 6.40.9 neni Winboxexploitem hacknutelna. hesla musely uniknout jeste ze starsich verzi.

Není? hodte mi to někam na veřejku 6.28 (včetně) - až 6.42 (6.42.1 už nejde)

ano 6.28 je napadnutelna ackoliv MT tvrdi, ze problem je od 6.29.
6.40.8+ jsou bezpecne. WinExploit z nich hesla nestahne, obsahuji jiz opravu. To ze nektera prohlaseni od MT byla zmatena a vypadlo to podle nich, ze vsechno mezi 6.29 a 6.42 (tedy i 6.40.8+) jsou napadnutelne je jina vec.
Pokud mas dukazy pro to, ze 6.40.8 6.40.9 je napadnutelna (umis z nich precist hesla), tak to reportuj na support MT. Btw: oprava v 6.40.7 je stejna jako v 6.42.x, takze by se stejny problem tykal i tehle rady. Jestli mi to chces demonstrovat tak, odpoledne nejaky MT verejkou spustim...

[hapi]

proč je tady duplicitní vlákno?

[menicks]

6.40.8 ani 6.40.9 neni Winboxexploitem hacknutelna. hesla musely uniknout jeste ze starsich verzi.

Není? hodte mi to někam na veřejku 6.28 (včetně) - až 6.42 (6.42.1 už nejde)

ano 6.28 je napadnutelna ackoliv MT tvrdi, ze problem je od 6.29.
6.40.8+ jsou bezpecne. WinExploit z nich hesla nestahne, obsahuji jiz opravu. To ze nektera prohlaseni od MT byla zmatena a vypadlo to podle nich, ze vsechno mezi 6.29 a 6.42 (tedy i 6.40.8+) jsou napadnutelne je jina vec.
Pokud mas dukazy pro to, ze 6.40.8 6.40.9 je napadnutelna (umis z nich precist hesla), tak to reportuj na support MT. Btw: oprava v 6.40.7 je stejna jako v 6.42.x, takze by se stejny problem tykal i tehle rady. Jestli mi to chces demonstrovat tak, odpoledne nejaky MT verejkou spustim...

Pozor neplést bugfix verze s current verzemi. Samozřejmě 6.40.8 a 6.40.9 je opraveno ale například v 6.41 atd. to opravené není...