Upozornění na botneta napadajícího ROS <6.38.4

[mladas]

mam dojem ze i po aktualizaci ten napadeny stale napada, nebavim se o tech na ktere utoci, tam je to jasne na vsech mam tyIP service zakazane, ale ten co to dela na nem bezi nejaky job v scriptech a je videt ze leze do okoli na poterch 23,22,8291,7547 a je prehrany na 6.41 takze otazka zni jak to dostat z toho napadeneho, prehrani nepomaha

[whef]

Jj taky to zkoumám víc dohloubky, procházím logy. Začalo nám to generovat aj nějaký velký provoz v logování provozu, nevím jestli to je možné. Veze 6.38.4 byla často na bezdrátu nestabilní.

[honzam]

mam dojem ze i po aktualizaci ten napadeny stale napada, nebavim se o tech na ktere utoci, tam je to jasne na vsech mam tyIP service zakazane, ale ten co to dela na nem bezi nejaky job v scriptech a je videt ze leze do okoli na poterch 23,22,8291,7547 a je prehrany na 6.41 takze otazka zni jak to dostat z toho napadeneho, prehrani nepomaha

To seš asi první komu to nepomohlo. Koukni na to torchem co to dělá? Asi to nebude souviset s tímto botnetem

[whef]

Na foru MK, jsem našel víc lidí co jim upgrade nepomohl, tak jsem zvědav, co bude. Jinak se to šíří po síti a napadá to vzájemně zařízení i s neveřenou IP.

[hapi]

v konfiguraci je možnost zkontrolovat instalaci. system - packages - check installation

[Gemb]

To je strasna zahada, bez tak ide MK aj UBNT o to, aby ludia nahrali nove FW a takto maju zamienku. Virus si vyrobia aj svoj....teraz rychlo upgradovat to co bezalo roky v pohode na starom FW. Nahras novy a vsetko doebane...dfs ci podobne srance...

[hapi]

dobrý výmluvy.

Komu o to šlo tak si zjistil jak DFS vypne a neovlivní to nic dalšího. POkud se nezajímáš, dobře ti tak.

[whef]

JJ neříkám ošetřit se to dá, nechci ale standartně nic vypínat, to je proti. Jinak člověk toho má moc a nechce všechen život věnovat síti, ale to je věc majitele, že na to kašle a nejsou lidi, či je nezpalatí. Jinak přemýšlím a ještě so domluvím s kolegou, že zakážeme ssh na vstupu do sítě, máte to tak udělaný ? Nebo na tom jdou i nějaké služby, co používaj zákoši ? Myslím si, že ne. Problém to úplně nevyřeší částečně ano. Jinak na nějaké staré tiky co dožívaj ani nový sw. dát nejde, by je to položilo, nebo to nerozdejchaj. Jo muzejních kousků se letos už snad zbavíme. Jinak narozdíl od viru UBNT, to zatím nedělá nic zákeřného. Netušíte někdo jestli to nemůže krást hesla z MK ?

[rsaf]

Místo aby jsi alespoň trošku zabezpečil jednotlivé TIKy, tak raději zařízneš SSH na hranici sítě? Co když tam má nějaký zákazník na veřejce linuxový stroj a chodí na něj?

[whef]

Místo aby jsi alespoň trošku zabezpečil jednotlivé TIKy, tak raději zařízneš SSH na hranici sítě? Co když tam má nějaký zákazník na veřejce linuxový stroj a chodí na něj?

V týdnu zabezpečím tiky, jako většina je ok, zabezpečená. Někdy, ale člověk v té rychlosti na něco zapomene, nebo když to nastavuje někdo jiný. Zaříznutí SSH není řešení a stejně to nepomáhá. Jinak myslím, že náš problém je spíše minimální, když vídím těch mrtě útočích zařízení z českých rosahů sítí. Většina lidí to má napadený, neví o tom, nebo to neřeší, či kombinace obojího. To že se člověk bojí dát nové balíčky MK na síť je normální, jednu věc to zalátá a další dozjebe. Konkurenční firmy velké co mají sítě, přes několik krajů, mají ještě starší fw. Blokují kde co. Jinak na co je DFS, když ho pak někdo úmyslně vypíná, dříve to fungovalo a nyní ne ? Nebo se jen začala víc dodržovat legislativa ? Vím, že někde to zas detekuje DFS i když tam žádný radar nevysílá, je to chyba fw. ?

[hapi]

nevim nevim ale když si pustim scan tak starnet nemá starší verze víc jak půl roku tady v okolí. To že někdo má starší firmware znamená jenom to že na to sere. Dial třeba pár měsíců po valut7 aktualizoval v noci switche.

U DFS žádná chyba nebyla, jenom bylo defaulně vypnutý. Teď je deafult zapnutý jako u ubnt.

[whef]

Jo jo, koukal jsem na to co se týče DFS. No nevím jestli na to konkurence sere, je to jeden velký hráč ISP-A a pad další hráč skoro přes půl republiky, vím, že mají systémy na to aby upgradovali jedním tlačítkem několik vysílačů. Mne se jen u těch nových verzí zdá, že to nějak divně chodí ve vzduchu, nemám čas to tak dlouho testovat a hrát si s tím. Můžeš hapi prozradit, jakou používáš verzi. Já ted 39.2 . Jinak jsem čekal, že nějaká zranitelnost MK, přijde toto zatím není nijak závažné. Dá se nějak skýt, aby to při skenu ukazovalo verzi ROSU ? Přiznávám se neměl jsem zatím čas a chuť to hledat.

nevim nevim ale když si pustim scan tak starnet nemá starší verze víc jak půl roku tady v okolí. To že někdo má starší firmware znamená jenom to že na to sere. Dial třeba pár měsíců po valut7 aktualizoval v noci switche.

U DFS žádná chyba nebyla, jenom bylo defaulně vypnutý. Teď je deafult zapnutý jako u ubnt.

[Gemb]

Starsi FW znamena, ze na to niekto sere Tak to je koment roka. Co inovativneho pride novou verziou Ros ? NIC absolutne nic. Pouzivat verziu hoc aj starsiu je pre mna jedine pravidlo a pre niektorych dalsich tiez. Nova verzia ros znamena len nove problemy ako vzdy, cakat ze sa nieco niekde zosype alebo zacne rebootovat uplne nahodne, ze na bezdrate to da menej nez na starej verzii a podobne. DFS som spomenul len preto, ze konecne aj mikrotik dotlacili k tomu aby bol zapnuty. Asi sa tlaci este viac, tak sa vymysli virus aby vsetci museli upgradovat a problem vyrieseny. UBNT tiez. Ako donutit inak upgradnut FW? Vymyslis virus a vsetci jak ovce updatnu. Problem solved. Roky stare zariadenia fungovali normalne. Zrazu by volakoho napadlo ved znicme MK. Prd.... UBNT sa tiez bojime updatovat, updatnes to a zosype sa to cele. V tom lepsom pripade tam nebudes muset ist fyzicky....

[whef]

Jo jo, přesně tak, DFS se vypnout normálně nedá s nastavením CZ, pokud to někdo obchází nastavením jiného regionu či jak, není to ok. S DFS se to na dost místech nedá použít, protože se to odpojuje i když žádný radar není v dosahu, stačí jen větší zarušení. Myslím a já už jsem se to naučil taky, pokud to funguje tak se na to moc nesahá. Nevykašlal jsem se na to, ale upgradoval na verzi bez DFS. Je zajímavé, že to napadá jen verze bez DFS, pokud se nepletu. Možná tahle konspirační teorie je ok.

Starsi FW znamena, ze na to niekto sere Tak to je koment roka. Co inovativneho pride novou verziou Ros ? NIC absolutne nic. Pouzivat verziu hoc aj starsiu je pre mna jedine pravidlo a pre niektorych dalsich tiez. Nova verzia ros znamena len nove problemy ako vzdy, cakat ze sa nieco niekde zosype alebo zacne rebootovat uplne nahodne, ze na bezdrate to da menej nez na starej verzii a podobne. DFS som spomenul len preto, ze konecne aj mikrotik dotlacili k tomu aby bol zapnuty. Asi sa tlaci este viac, tak sa vymysli virus aby vsetci museli upgradovat a problem vyrieseny. UBNT tiez. Ako donutit inak upgradnut FW? Vymyslis virus a vsetci jak ovce updatnu. Problem solved. Roky stare zariadenia fungovali normalne. Zrazu by volakoho napadlo ved znicme MK. Prd.... UBNT sa tiez bojime updatovat, updatnes to a zosype sa to cele. V tom lepsom pripade tam nebudes muset ist fyzicky....

[Pintero]

Já mám u pár zákazníků stále ještě boardy 133, někde ještě 133c, je na nich ROS 5.14, pokud jsem se pokusil nahrál vyšší, vždy jsem si zadělal na výjezd.
Taktéž původní RB 750, je na nich ROS 5.26, dal jsem vyšší, začala se rebootovat.