MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[mpcz]

Tak to netuším. Ale když si přehodíš tunely na jiný port, tak budeš mít od těch hlášek v logu pokoj. mpcz, 06.nov.2018

[Matony]

Ahoj kolegové,
před několika dny se mi dostal do rukou na analýzu MT, kterému se záhadně změnili porty služeb na 65000. Vzhledem k děravé verzi a diletantské konfiguraci jsem to nepovažoval za nic divného.. Dnes jsem ale zbystřil, můj honeypot totiž dopadl stějně :-D. Rád bych se tedy podělil o informace..

ROS v6.42.7, defaultní konfigurace, veřejná IP

/ip service
set telnet port=65001
set ftp port=61000
set www disabled=yes port=65003
set ssh disabled=yes port=62000
set www-ssl port=65002
set api port=64000
set winbox port=65000
set api-ssl port=63000

Daleko zajímavější je "těžební" konfigurace firewallu, viz příloha.. Máte někdo podobnou zkušenost ? :-)

firewall.zip

(498 bajtů) Staženo 269 x

[K3NY]

Ahoj kolegové,
před několika dny se mi dostal do rukou na analýzu MT, kterému se záhadně změnili porty služeb na 65000. Vzhledem k děravé verzi a diletantské konfiguraci jsem to nepovažoval za nic divného.. Dnes jsem ale zbystřil, můj honeypot totiž dopadl stějně . Rád bych se tedy podělil o informace..

ROS v6.42.7, defaultní konfigurace, veřejná IP

/ip service
set telnet port=65001
set ftp port=61000
set www disabled=yes port=65003
set ssh disabled=yes port=62000
set www-ssl port=65002
set api port=64000
set winbox port=65000
set api-ssl port=63000

Daleko zajímavější je "těžební" konfigurace firewallu, viz příloha.. Máte někdo podobnou zkušenost ?
firewall.zip

jj jeste se koukni do snifferu tam asi taky najdes prekvapeni

[SpeedyGT]

Světem evidentně koluje seznam provařených hesel, ale zajímavé je, že se to láme do Mikrotiků přes api i přes to, že api je povolena jenom z jedné veřejné a z té se to tam podle logů vůbec nepřihlašovalo. Včera cca v 19h nám to začlo běhat v síti.

Co to podle logu dělá:
- Uzavře to všechny services, akorát povolí SSH na portu 22 z 0.0.0.0/0
- Povolí to http-proxy
- Povolí to socks

[mpcz]

Světem evidentně koluje seznam provařených hesel, ale zajímavé je, že se to láme do Mikrotiků přes api i přes to, že api je povolena jenom z jedné veřejné a z té se to tam podle logů vůbec nepřihlašovalo. Včera cca v 19h nám to začlo běhat v síti.

Co to podle logu dělá:
- Uzavře to všechny services, akorát povolí SSH na portu 22 z 0.0.0.0/0
- Povolí to http-proxy
- Povolí to socks

Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

[SpeedyGT]

Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

Cíleně se nám tam připojili úspěšně userové bez jakýchkoliv předešlých brute-force ťukanců a rovnou i na api, které bylo omezené na jednu konkrétní IP uvedenou v services. Krom toho to pak ještě zkoušelo loginy, které jsme dříve používali, žádné jiné to ani nezkoušelo. Šlo to prostě najisto. IPečka odkud to tam bouchalo jsou různě ze světa - Indie, Argentina, Ekvádor atd...

[Dalibor Toman]

Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

Cíleně se nám tam připojili úspěšně userové bez jakýchkoliv předešlých brute-force ťukanců a rovnou i na api, které bylo omezené na jednu konkrétní IP uvedenou v services. Krom toho to pak ještě zkoušelo loginy, které jsme dříve používali, žádné jiné to ani nezkoušelo. Šlo to prostě najisto. IPečka odkud to tam bouchalo jsou různě ze světa - Indie, Argentina, Ekvádor atd...

jinymi slovy rikas, ze z tech tisicu provarenych hesel vybrali napoprve to Vase a pripojili se s nim na sluzbu, ktera z jejich IP nemela pripojeni povolit? Skutecny scenar pruniku byl asi jiny...

[honzam]

Tak asi v tom seznamu bude kolovat heslo-IP adresa. Pak není problém se tam lognout ne?
Pokud ovšem v IP services máš povolenou jen jednu IP tak z jaké IP se ti tam logli? Z té tvojí jediné povolené?

[SpeedyGT]

Ne přihlášení bylo uplně přes jinou IP než která byla v services jako jediná přístupná pro api. Bude to asi krapet děravý jinak si to neumím vysvětlit.

Jaký scénář průniku...kdyby to byl nějaký ferda co chce pořádně škodit tak tam nezapíná zase proxyny ale shodí to trošku jiným způsobem.

[sub_zero]

Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.
Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.
Vše ok.

[SpeedyGT]

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.
Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.
Vše ok.

Taky jsme to u jednoho RB potřebovali a tahle metoda funguje dobře

[mpcz]

Zveřejňování informací tohoto typu může být dle mého soudu velmi nerozumné + nebezpečné i pro samotného autora takovéto informace. Jen upozorňuji, že Sergej v nových verzích již ukládá hesla (po mnoha letech) v šifrovaném tvaru, takže se to záškodníkovi zase ztíží. mpcz, 9.nov.2018

[basty]

Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.
Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.
Vše ok.

ale nad 6.43 by tojle jit uz nemelo.

[sub_zero]

Zveřejňování informací tohoto typu může být dle mého soudu velmi nerozumné + nebezpečné i pro samotného autora takovéto informace. Jen upozorňuji, že Sergej v nových verzích již ukládá hesla (po mnoha letech) v šifrovaném tvaru, takže se to záškodníkovi zase ztíží. mpcz, 9.nov.2018

rozvěď to - co je na to nerozumného a nebezpečného?

[sub_zero]

Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.
Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.
Vše ok.

ale nad 6.43 by tojle jit uz nemelo.

nezkoušel jsem, všechny hacknutý MK byly 6.42.7.