MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[zvukarmiso]

Zaujimalo by ma ako si sa tam dostal ? Mám pod. problém.

Ahoj,

dneska jsem se chtěl přihlásit do mikrotiku a nešlo to. Nakonec se to povedlo a tohle přibylo ve firewall.

Kód: Vybrat vše

 0    ;;; Add you ip addess to allow-ip in Address Lists.
      chain=input action=tarpit protocol=tcp dst-port=30553

 1    ;;; The security flaw for Hajime is closed by the firewall.
      chain=input action=add-src-to-address-list protocol=icmp address-list=allow-ip
      address-list-timeout=1h packet-size=1083

 2    ;;; Please update RotherOS and change password.
      chain=input action=accept src-address-list=allow-ip

 3    ;;;  Thanks are accepted on WebMoney Z399578297824
      chain=input action=drop protocol=udp dst-port=53

 4    ;;; or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1
      chain=input action=drop protocol=tcp dst-port=53,8728,8729,21,22,23,80,443,8291

 5    ;;; Login ssh,api,api-ssl
      chain=input action=accept connection-state=new protocol=tcp src-address-list=sshaccept
      dst-port=22,8728,8729 log=no log-prefix=""


[mpcz]

Že by nám chtěl naznačit něco na téma, zablokuji, odblokuji proti "mírnému" poplatku, pošli částku někam? Nebo něco na toto oblíbené téma? mpcz, 22.5.2018

[LaCosta]

Peniaze su lubovolne, nie je to obdoba wannacry a pod. Jedna sa sice o neopravneny pristup, ale jeho ucelom je zabranit prave tomu co sa poslednu dobu deje ...

Neschvalujem to, ale ak tie porty clovek neblokuje od zaciatku a ma to pristupne z vonku, tak je asi lepsie dopadnut takto ako mat zombie router v botnete.

[mpcz]

To zní pravděpodobně, ale proč blokuje přístup? Kdybych chtěl v dobrém upozornit protistranu, tak mu tam tu hlášku hodím přímo před oči. Takto se může stát, že nebude mít trpělivost / čas a zrovna to resetne. mpcz, 22.5.2018

[LaCosta]

Ak som to pochopil spravne tak su tam tie lokal IP 192.168.x.x ktore su na pristup. Jasne, clovek to asi nema ako zistit a mohli to spravit elegantnejsie, ale zas nemozeme chciet vsetko ... ale legalne to to od nich nie je, aby bolo jasno.

[JirkaK]

Jak chapete smysl tohoto (co je tcp/30553)?
chain=input action=tarpit protocol=tcp dst-port=30553

[neverhappy]

Zkusil jsem to a za chvilku byla v allow-ip 65.123.202.139 (USA)

[ludvik]

ping s parametrem -l 1055 (na windows)

Zaujimalo by ma ako si sa tam dostal ? Mám pod. problém.

[petr21]

Pro jistotu přehrát přes netinstall? Nebo jak poznám jestli v tom Mikrotiku je náký vir?

Jinak v tom Mikrotiku byla verze 6.41.1

[Dalibor Toman]

Pro jistotu přehrát přes netinstall? Nebo jak poznám jestli v tom Mikrotiku je náký vir?

Jinak v tom Mikrotiku byla verze 6.41.1

od kdy tam ta 6.41.1 byla? Proc se ptam - tahle verze by mela byt, co se tyce problemu kolem WWW (Chimay Red) bezpecna. Takze pokud se do ni nekdo prolomil, tak bud stahnul hesla pomoci winbox diry opravene az v 6.42.1 nebo si je stahnul driv pomoci toho problemu s WWW a nebo proste jen uhodl heslo (a nebo mame co do cineni s nejakym novym problemem).

Ciste jen pomoci problemu s winboxem by mel utocnik mit jen moznost prihlasit se do MT ale neni zrejme schopen tam instalovat nejaky skodlivy kod (krome zmen v CFG apod). Resp. zatim jsem nevidel nikde nejake zminky o tom, ze by slo winbox zneuzit k instalaci a spousteni nejakeho kodu, ani jsem nevidel nejaku bezpecnostni diru zneuzitelnou 'zevnitr' (po normalnim prihlaseni).
Tim chci rict, ze normalni upgrade by mel stacit + zmena hesel + nastaveni zabezpeceni firewallem apod.

[petr21]

byla tam něco kolem 2 měsíců.. upgrade jsem udělal i změnu hesla a název účtu. Jinak se to stalo někdy přes noc. Protože jsem včera přesměrovával porty. Věčinou se přihlašuji přes ssh, ale winbox mam povolený. Heslo neuhodl mam firewall 5 pokusů a na jeden den zablokovaný.

[maxdevaine]

Absolutně nechápu ty postižené ISP. Není mi jasné, jak mají postavený mgmt, že se jim dokáže síť zamořit. Úplný základ je mít přeci oddělený mgmt od okolní sítě.
V Phe jsem potkal ISP, který nám dal jednu linku a když jsem si jen pustil dump komunikace, která mi lítala kolem WAN, tak jsem okamžitě viděl, kde co má po cestách, jak se která krabka jmenuje, jakou má lokální ip atd.
To samé u ISP v Ústí nad Labem.
Fakt mi není jasný, proč si staví takový domečeky z karet. Každé zařízení je děravé a je jen otázkou, kdo díru najde dřív, zda vývojář, nebo útočník. Evidentně se ani moc ISP nepoučilo z průserů UBI v minulých letech.
Zdar Max

[mpcz]

byla tam něco kolem 2 měsíců.. upgrade jsem udělal i změnu hesla a název účtu. Jinak se to stalo někdy přes noc. Protože jsem včera přesměrovával porty. Věčinou se přihlašuji přes ssh, ale winbox mam povolený. Heslo neuhodl mam firewall 5 pokusů a na jeden den zablokovaný.

Obecně vzato, heslo nemusel uhodnout zde, ale někde jinde. Není žádná vyjímka, že je heslo stejné pro několik / mnoho strojů. mpcz, 22.5.2018

[aldo]

Ku tym aktualizaciam ktorym po update na verziu 6.42.xxx sa stale restartuje RB. Musite najprv napr z verzie 5.xx alebo 6.xx nahrat najprv 6.41.3 kde mate stary Bios verzie napr 3.32 a tak pod. po update uz na 6.41.3 ist do update routerboard a tam budete mat uz verziu BIOSu 6.41.3 upgradnut BIOS a po restarte budete mat BIOS v. 6.41.3 a potom smelo na 6.42.2 ci ako to je. Ja som si tak odpalil 3 RB ale netinstall pomohol.Takze zhrnutie nahrat 6.41.3 - update BIOS - restart - nahratie 6.42.xx

[mpcz]

Zdá se, že tenhle problém je dost častý. Klasický dotaz: vyšel tento návod i od výrobce veřejně dostupnou formou? Např. na stránkách s update balíčky, což jsou stránky, které jsou navštěvovány asi nejvíce, některými i výhradně? mpcz, 23.5.2018