Stránka 1 z 7
Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 12:55
od i4wifi
Doporučujeme upgrade všech zařízení s RouterOS Mikrotik, která mají veřejnou IP adresu a mají verzi RouterOS nižší než 6.38.4. Důvodem je botnet, známý jako "Chimay Red". V současné době tento botnet skenuje náhodně veřejné IP adresy a zjišťuje, zda na nich nejsou otevřené porty Winboxu (8291) nebo webového rozhraní (80). Pokud jsou uvedené porty bez omezení otevřené a je na nich starší verze systému, může dojít k zavirování. Ve výchozím nastavení, je vzdálený přístup na tyto porty zakázaný, pokud jste ho tedy z nějakého důvodu otevřeli, je nutné zkontrolovat verzi RouterOS Mikrotiku a případně jej aktualizovat.
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 13:02
od pgb
Máte zpoždění asi tak týden proti panice která byla tady a na MK fóru. Jinak dostává se to tam děravým web serverem, který byl před více nežli rokem opraven. Admini klidně tohle celé smažte.
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 14:15
od DarkLogic
Proc by to meli mazat? Ja to treba nevedel. Mikrotiky pouzivam jen obcas, takze MK forum nectu.
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 14:20
od xrff
vsude jsem se docetl spoustu upozorneni,ale nikde jsem nenasel,jak se napadeny mikrotik projevuje,pripadne jak to poznat (pripadne, jestli kdyz byl napadeny pred upgradem routerOS, jestli napadeny zustal,atd.) poskytnete nekdo prosim vic info?
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 14:26
od pgb
smazat, protože to tu už je a to vlákno má tři stránky, projevuje se to tak, že v logu uvidíte, jak se nekdo bude snažit hádat vaše heslo a kupodivu jako zdrojovou ip uvidíte ip vašeho sousedního mikrotiku třeba + vy se můžete podívat přes torch, jestli se Vaše zařízen ísnaží někam hlásit
https://ispforum.cz/viewtopic.php?f=5&t=25058https://forum.mikrotik.com/viewtopic.php?f=2&t=132368&start=50
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 15:20
od mladas
i po prehrani napadeny napada dal poznate to ze v script listu v jobs jede script
a dela to i po upgrade, jak ho sundat ??
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 16:25
od routerboard
Pro odstranění stačí pouze nahrát aktuální verzi RouterOS Mikrotik, což je buď verze "current" a nebo "Bugfix only".
Další možností je použít utilitu netinstall, která provádí kompletní formát NAND paměti:
https://download.mikrotik.com/routeros/ ... 6.40.6.zipI po přehrání se mohou objevovat logy o napadení a to v případě, kdy to není ošetřené ve firewallu a nebo v IP -> services.
Doporučuji zde úplně zakázat SSH, telnet a web. U Winboxu pak doporučuji změnit výchozí port.
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 16:47
od pgb
Nasazovat firewall je skoro samozřejmost a řídit příchozí provoz taky, nicméně z pohledu historie nedokážu pochopit zakazovat ssh? Kdy byl naposled critical remote vulnerability ... 2002 ? Za předpokladu tedy že v mikrotiku používají implementaci openssh. Nebezpečí hrozí u mnohem komplexnějších věcí jako je jejich api a zmiňovaný web .... telnet už je prehistorie...
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 16:50
od CrazyApe
Jasny zakazu ssh, telnet, web a na mikrotiku dam port 33355 a pak budu jak ko*ot furt nekde menit porty pri prihlasovani nekam a budu z toho mit akorat nervy a az nekde neco dodrbu tak to opravim tak ze tam pojedu... problem solved vše zakazat.
Mel jsem to v časti site. Staci prehrat na 6.40 +. Zadny netinstall netreba.
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 16:58
od honzam
CrazyApe píše:Jasny zakazu ssh, telnet, web a na mikrotiku dam port 33355 a pak budu jak ko*ot furt nekde menit porty pri prihlasovani nekam a budu z toho mit akorat nervy a az nekde neco dodrbu tak to opravim tak ze tam pojedu... problem solved vše zakazat.
A co třeba ještě zakázat i winbox?
Pak nebude žádná service aktivní tím pádem nenapadnutelné
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 17:01
od CrazyApe
honzam píše:CrazyApe píše:Jasny zakazu ssh, telnet, web a na mikrotiku dam port 33355 a pak budu jak ko*ot furt nekde menit porty pri prihlasovani nekam a budu z toho mit akorat nervy a az nekde neco dodrbu tak to opravim tak ze tam pojedu... problem solved vše zakazat.
A co třeba ještě zakázat i winbox?
Pak nebude žádná service aktivní tím pádem nenapadnutelné
To mě nenapadlo jdu to vsude vypnout ať je to poradne SAFE
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 17:26
od cerva
CrazyApe píše:honzam píše:CrazyApe píše:Jasny zakazu ssh, telnet, web a na mikrotiku dam port 33355 a pak budu jak ko*ot furt nekde menit porty pri prihlasovani nekam a budu z toho mit akorat nervy a az nekde neco dodrbu tak to opravim tak ze tam pojedu... problem solved vše zakazat.
A co třeba ještě zakázat i winbox?
Pak nebude žádná service aktivní tím pádem nenapadnutelné
To mě nenapadlo jdu to vsude vypnout ať je to poradne SAFE
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 17:52
od zdenek.svarc
pgb píše:Máte zpoždění asi tak týden proti panice která byla tady a na MK fóru. Jinak dostává se to tam děravým web serverem, který byl před více nežli rokem opraven. Admini klidně tohle celé smažte.
Kdepak, bude lepší to tady pro jistotu nechat. Mikrotik teď rozeslal upozornění mailem, protože tuší, že rok staré aktualizace jsou pořád na spoustě místech.
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 17:57
od whef
Stále nevím, jestli má cenu upgradovat, ty nové fw stojí akorát pro zlost a některý zařízení s nima nejsou stable. Jakou používáte verzi a co ten vir může udělat ? Všechny porty kromě winboxu jsou zakázaný většinou, kde to je na veřejkách. Co ten vir má konkrétně dělat ?
Re: Upozornění na botneta napadajícího ROS <6.38.4
Napsal: 29 Mar 2018 18:00
od whef
P.S: Pokus o přihlášení na tiky neberu v úvahu viz toto vlákno, to se děje odjakživa cca 5 let zpět, přes SSH, proto je zakázané. Je něco jiného co to dělá, jestli je tohle ten vir ?