Upozornění na botneta napadajícího ROS <6.38.4

[i4wifi]

Doporučujeme upgrade všech zařízení s RouterOS Mikrotik, která mají veřejnou IP adresu a mají verzi RouterOS nižší než 6.38.4. Důvodem je botnet, známý jako "Chimay Red". V současné době tento botnet skenuje náhodně veřejné IP adresy a zjišťuje, zda na nich nejsou otevřené porty Winboxu (8291) nebo webového rozhraní (80). Pokud jsou uvedené porty bez omezení otevřené a je na nich starší verze systému, může dojít k zavirování. Ve výchozím nastavení, je vzdálený přístup na tyto porty zakázaný, pokud jste ho tedy z nějakého důvodu otevřeli, je nutné zkontrolovat verzi RouterOS Mikrotiku a případně jej aktualizovat.

[pgb]

Máte zpoždění asi tak týden proti panice která byla tady a na MK fóru. Jinak dostává se to tam děravým web serverem, který byl před více nežli rokem opraven. Admini klidně tohle celé smažte.

[DarkLogic]

Proc by to meli mazat? Ja to treba nevedel. Mikrotiky pouzivam jen obcas, takze MK forum nectu.

[xrff]

vsude jsem se docetl spoustu upozorneni,ale nikde jsem nenasel,jak se napadeny mikrotik projevuje,pripadne jak to poznat (pripadne, jestli kdyz byl napadeny pred upgradem routerOS, jestli napadeny zustal,atd.) poskytnete nekdo prosim vic info?

[pgb]

smazat, protože to tu už je a to vlákno má tři stránky, projevuje se to tak, že v logu uvidíte, jak se nekdo bude snažit hádat vaše heslo a kupodivu jako zdrojovou ip uvidíte ip vašeho sousedního mikrotiku třeba + vy se můžete podívat přes torch, jestli se Vaše zařízen ísnaží někam hlásit
https://ispforum.cz/viewtopic.php?f=5&t=25058
https://forum.mikrotik.com/viewtopic.php?f=2&t=132368&start=50

[mladas]

i po prehrani napadeny napada dal poznate to ze v script listu v jobs jede script
a dela to i po upgrade, jak ho sundat ??

[routerboard]

Pro odstranění stačí pouze nahrát aktuální verzi RouterOS Mikrotik, což je buď verze "current" a nebo "Bugfix only".
Další možností je použít utilitu netinstall, která provádí kompletní formát NAND paměti:
https://download.mikrotik.com/routeros/ ... 6.40.6.zip

I po přehrání se mohou objevovat logy o napadení a to v případě, kdy to není ošetřené ve firewallu a nebo v IP -> services.
Doporučuji zde úplně zakázat SSH, telnet a web. U Winboxu pak doporučuji změnit výchozí port.

[pgb]

Nasazovat firewall je skoro samozřejmost a řídit příchozí provoz taky, nicméně z pohledu historie nedokážu pochopit zakazovat ssh? Kdy byl naposled critical remote vulnerability ... 2002 ? Za předpokladu tedy že v mikrotiku používají implementaci openssh. Nebezpečí hrozí u mnohem komplexnějších věcí jako je jejich api a zmiňovaný web .... telnet už je prehistorie...

[CrazyApe]

Jasny zakazu ssh, telnet, web a na mikrotiku dam port 33355 a pak budu jak ko*ot furt nekde menit porty pri prihlasovani nekam a budu z toho mit akorat nervy a az nekde neco dodrbu tak to opravim tak ze tam pojedu... problem solved vše zakazat.

Mel jsem to v časti site. Staci prehrat na 6.40 +. Zadny netinstall netreba.

[honzam]

Jasny zakazu ssh, telnet, web a na mikrotiku dam port 33355 a pak budu jak ko*ot furt nekde menit porty pri prihlasovani nekam a budu z toho mit akorat nervy a az nekde neco dodrbu tak to opravim tak ze tam pojedu... problem solved vše zakazat.

A co třeba ještě zakázat i winbox? Pak nebude žádná service aktivní tím pádem nenapadnutelné

[CrazyApe]

Jasny zakazu ssh, telnet, web a na mikrotiku dam port 33355 a pak budu jak ko*ot furt nekde menit porty pri prihlasovani nekam a budu z toho mit akorat nervy a az nekde neco dodrbu tak to opravim tak ze tam pojedu... problem solved vše zakazat.

A co třeba ještě zakázat i winbox? Pak nebude žádná service aktivní tím pádem nenapadnutelné

To mě nenapadlo jdu to vsude vypnout ať je to poradne SAFE

[cerva]

Jasny zakazu ssh, telnet, web a na mikrotiku dam port 33355 a pak budu jak ko*ot furt nekde menit porty pri prihlasovani nekam a budu z toho mit akorat nervy a az nekde neco dodrbu tak to opravim tak ze tam pojedu... problem solved vše zakazat.

A co třeba ještě zakázat i winbox? Pak nebude žádná service aktivní tím pádem nenapadnutelné

To mě nenapadlo jdu to vsude vypnout ať je to poradne SAFE

[zdenek.svarc]

Máte zpoždění asi tak týden proti panice která byla tady a na MK fóru. Jinak dostává se to tam děravým web serverem, který byl před více nežli rokem opraven. Admini klidně tohle celé smažte.

Kdepak, bude lepší to tady pro jistotu nechat. Mikrotik teď rozeslal upozornění mailem, protože tuší, že rok staré aktualizace jsou pořád na spoustě místech.

[whef]

Stále nevím, jestli má cenu upgradovat, ty nové fw stojí akorát pro zlost a některý zařízení s nima nejsou stable. Jakou používáte verzi a co ten vir může udělat ? Všechny porty kromě winboxu jsou zakázaný většinou, kde to je na veřejkách. Co ten vir má konkrétně dělat ?

[whef]

P.S: Pokus o přihlášení na tiky neberu v úvahu viz toto vlákno, to se děje odjakživa cca 5 let zpět, přes SSH, proto je zakázané. Je něco jiného co to dělá, jestli je tohle ten vir ?