MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[mpcz]

No právě proto, že to nikdo neví, je Netinstall dobré řešení. Pokud je konfigurace jednoduchá, je lepší nastavit to znovu manuálně. Kdo se umí v konfiguraci exportu orientovat, může si ho před Netinstallem vyexportovat, projít okometricky a vyházet podezřelé operace. Pak ho po Netinstallu nacucnout znovu. Pak vypnout všechny nepotřebné služby a u těch používaných přehodit čísla portů. Nakonec pustit utilitu kontrolující scanování portů útočníkem. To je dle mého nejjednodušší řešení, které pokryje většinu pilně a neúnavně pracujících robotů. mpcz, 16/10/2018

[dvcompt]

Děkuji za info. Mě bohužel rozpojil pptp tunel a není možné ho znovu spojit.

[mpcz]

A co z toho plyne? Že rozpojil tunel. mpcz, 16/10/2018

[rsaf]

PPTP tunel nejspíš rozpojil proto, že tam využívají pro přístup i PPTP server, případně to mohla shodit nějaká firewallová pravidla co se tam nasypala.

Jinak souhlasím s tím, že netinstall a nová konfigurace je nejjistější řešení, jak se marastu zbavit.

[mpcz]

No jistě, ale jaký to má vliv na další postup očisty? mpcz, 16/10/2018

[mladas]

No právě proto, že to nikdo neví, je Netinstall dobré řešení. Pokud je konfigurace jednoduchá, je lepší nastavit to znovu manuálně. Kdo se umí v konfiguraci exportu orientovat, může si ho před Netinstallem vyexportovat, projít okometricky a vyházet podezřelé operace. Pak ho po Netinstallu nacucnout znovu. Pak vypnout všechny nepotřebné služby a u těch používaných přehodit čísla portů. Nakonec pustit utilitu kontrolující scanování portů útočníkem. To je dle mého nejjednodušší řešení, které pokryje většinu pilně a neúnavně pracujících robotů. mpcz, 16/10/2018

Mozna jsem Lama ale jak netinstalem vyexportuju konfiguraci? Nikde jsem to tam nenasel, Diky

[mpcz]

Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018

[Dalibor Toman]

ahoj všem, pochopil jsem správně že zbavit se toho zas... malware pomůže pouze upgrade přeš netinstall?
smazání scriptů a filtrů není řešení?
díky

zatim vsechno resim jen desinfekci (skripty, scheduler, files) a vypnutim/opravou pozapinanych sluzeb (DNS vcetne allow remote requests, SOCKS, WebProxy) a opravou users a ip services a firewall. Pak upgrade ROSu.
Jedna vec je dostat se do MT ziskanim hesel druha je jailbreak, kdy utocnik muze instalovat sve binarky. A dalsi level je mit binarky tak, aby je upgrade nesmazal. Vetsine utocniku IMHO nestoji za to venovat tu spoustu casu k tomu, aby mely pristup primo k linuxovemu systemu v ROSu
Zatim jsem nepotkal nic, co by presilo desinfekci a upgrade.

[Dalibor Toman]

Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018

/export compact

vypise jen casti CFG , ktere se lisi od defaultni CFG. Takze je toho mnohem min nez plna cfg a lip se v tom hleda

[mirek.k]

Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018

/export compact

vypise jen casti CFG , ktere se lisi od defaultni CFG. Takze je toho mnohem min nez plna cfg a lip se v tom hleda

Dnes už je "compact" zapnuto defaultně.

[Dalibor Toman]

Dnes už je "compact" zapnuto defaultně.

aha, dik. Stary pes a stary kousky

[mladas]

Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018

to jo to vse chapu ale pokud je hackly a je v nem jine heslo a neni zakazany winbox port pripadne zmeneny tak se tam da dostat podflashovanim pres netinstall se zachovanim konfigurace pak vyzrat pres winboxexploid heslo dostat se tam pak vyexportovat nebo vycistit a prehrat na novou verzi, to vsechno chapu, ale jakmile zmeni port a nebo vypne winbox jsi v pytli, proto jsem se ptal jak umi netinstall vyexportovat config, pak by to bylo supr

[hapi]

ve winboxu zatrhni keep config a přeflashni to. Po bootu to natahne config zpět bez hesel a pokud tam funguje ssh nebo telnet tak se winbox dá zpětně zapnout. Případně to prostě resetnout a config by se měl uložit na disk zařízení ale to si ověř bokem jinde protože už to fungovat nemusí a asi to nebude ani export ale backup.

[mladas]

ve winboxu zatrhni keep config a přeflashni to. Po bootu to natahne config zpět bez hesel a pokud tam funguje ssh nebo telnet tak se winbox dá zpětně zapnout. Případně to prostě resetnout a config by se měl uložit na disk zařízení ale to si ověř bokem jinde protože už to fungovat nemusí a asi to nebude ani export ale backup.

Prave , ze ne , natahne ho zpet i s heslem admina ktere je zmeneno , a proto jsme to podflashovavali na verzi treba 6.36 kdy se to dalo winboxexploidem vycist, ale pokud vypne winbox tak exploid nejde a jsi v .. i kdyz ti to nabidne login pres telnet nebo mactelnet

[Macek]

Uff, tak jsem přišel na stejné problémy, Web proxy je zapnutý a static DNS je plný přesně takových záznamů, ppp doda jsem taky odstranil
další problém, je že v logu naskakují stále řádky pptp, info TCP connection established from .... a různé ip adresy
dají se tyto pokusy ve firewalu nějakým pravidlem zakázat? díky za rady

[quote="roman.wifi@post.sk"]Konecne Nieco rozumne od ISPadmina...po dlhej dobe.