MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[ludvik]

Jestli verze 6.41.3, tak si za to můžeš bohužel sám ...
A co ta možnost, že prostě útočník věděl heslo?

[heymen]

U nás objevil ten samý problém v 6.41.2/3, ještě jsem si všiml že vypíná ve firewallu tyto pravidla:

/ip firewall filter
add action=drop chain=input connection-state=invalid disabled=yes
add action=drop chain=input disabled=yes

[ludvik]

Já jenom kroutím hlavou ... Nepište sem už nikdo, že jste našli "zavirovaný" mikrotik, pokud máte verzi nižší než 6.40.8 nebo 6.42.1!!! U nich je to totiž naprosto logické a předpokládatelné chování.

[mpcz]

To je zajímavé, že někdo, kdo má problém v tak velkém rozsahu (stovky napadených strojů), není schopen ani odpovědět na otázky, směřující k (vy)řešení problému. mpcz, 24.7.2018

[3com]

To je zajímavé, že někdo, kdo má problém v tak velkém rozsahu (stovky napadených strojů), není schopen ani odpovědět na otázky, směřující k (vy)řešení problému. mpcz, 24.7.2018

No co no... Podcenění zabezpečení.. Stačilo jedno pravidlo ve Firewallu pro všechny rozsahy blokovat 8291 port z internetu a nestalo by se tohle at by tam byla verze MK jakákoliv... Protože to vždy vlezlo do MK jedině touto cestou. SSH,Telnet,WWW a všechny ostatní služby měly zakázané. Ale v logu jsem nikdy nezaznamenal nikdy nikde nějaké pokusy o přihlášení z internetu tak jsem to neřešil.

[mpcz]

No těch nejasností bylo více. Pokud mají stroje zablokovaný přístup, jak došlo ke kontrole logu? Až se do nich dostaneš, pak bude třeba jasněji. Nebo jsou už po instalu? Změnila se u nich verze ROS? Změnila se verze po restartu? Dík, mpcz, 24.7.2018

[3com]

No těch nejasností bylo více. Pokud mají stroje zablokovaný přístup, jak došlo ke kontrole logu? Až se do nich dostaneš, pak bude třeba jasněji. Nebo jsou už po instalu? Změnila se u nich verze ROS? Změnila se verze po restartu? Dík, mpcz, 24.7.2018

Verze ROS je stále stejná ikdyž se vypne napájení a znova naběhne. Je to asi něco nového protože až dnes někdo založil na ofic Mikrotik foru vlákno s tím Mikrotik.php problémem. K žádnému zablokovanému jsem se ještě nedostal fyzicky tak ještě nevím více.

[mpcz]

No to teda gratuluji k tak rozsáhlé síti. Několik set strojů a všechny mimo dosah. Pokud ale byly napadeny ty staré nebezpečné verze, do nich se přece dovedeme dostat bez problémů nebo ne? Pak máš heslo útočníka a dál je to jednoduché.
Když oscanuješ porty, které zůstaly po zamknutí dostupné? Dík, mpcz, 24.7.2018

[hapi]

řešíš kraviny. Důležitý je jestli lze hacknout jakkoliv 6.42.6. Tak jak tu někdo psal 6.42.1 zdá se lze ale taky tu čtu že 6.42.5 lze zdá se také.

[Robotvor]

Pořád jenom spekulace, proč se už konečně nevyjádří Mikrotik

[mpcz]

Všechny otázky mají svůj důvod. Ale jen pro toho, kdo zná odpovědi. Ti ostatní vychází z dojmů a zmůžou se jen na laciné výkřiky. Pokud někdo má pár stovek bloklých strojů, mohl by ocenit postup, jak je oživit na dálku, bez drahých výjezdů. Nebo ne? Ta tvá důležitá otázka o bezpečnosti posledních verzí tu přece padla už několikrát a to, že někdo mlhavě a velmi stručně popíše průnik, ještě neznamená ani ano ani ne. mpcz, 24.7.2018

[hapi]

to jsme se zase hovno dozvěděli.

[3com]

Jediné jak to na dálku vyřešit je získat ten login a heslo.... Titupuju, že bude na 99% v každém stroji stejný po infekci a změně... Jenom ho nějak získat no.... Pokud to není nijak možné tak bych byl i pro zkusit nějaky generator, ktery by bežel na pc vedle infikovaneho MK na stole bez netu a zkoušel se logovat než by na to heslo třeba přišel.. I kdyby to mělo trvat měsíc furt je to pro mě jednodušší verze než jezdit po klientech a resetovat každou jednotku fyzicky a znova nastavovat....

[ludvik]

Vzhledem k tomu, že jde o hacknutelné verze - tak si je proboha hackni. Odkazy na scripty sem pár stránek zpět dával myslím Hapi.

[hapi]

no, někde byly i vyplněný autentifikace přes radius takže je dost možný že tam heslo neni a tušim že majklik psal že si to povídali s jeho fiktivním raiusem a pak tam šlo se přihlásit ale k čemu to je když se nedostaneš do bashe.