MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[jirson]

Tak dnes se nemilá zkušenost....
Na firemním routeru jsem se nemohl dostat do RB493G, tuším že tam byla verze 6.42.3, zkusím ještě dohledat ze zabbixu.
Chyba hesla... Byl tam vytvořený jiný user a admin smazaný. Nevím ani jak, ale nějak mě napadlo použit default a byl jsem v něm.
Projížděl jsem konfiguraci jestli nevidím něco změněné nebo podezřelého a nic. Chtěl jsem provést update na poslední verzi, tu to normálně vidělo ale při aktualizaci to hodilo chybu že nemůže zapsat. No nenapadlo mě nic blbějšího než zkusit restart, čím sem ho umrtvil úplně. Přes seriál jsem ho z formátoval a že ho zkusím znovu nainstalovat, nicméně neúspěšně. Při kliknutí na onen RB se schovali veškeré baličky.
Heslo bylo silné, povolený jen winbox a web na změněném portu úplně mimo standard.

I tak mi to nedalo a začal jsem aktualizovat další stroje, x jsem jich normálně přepsal a vše vypadá ok, ale další RB493G kterou mám doma udělala to samé.

Winbox mám poslední 3.18.

1, pokud mám podezření o problému tak ten stroj vezmu netinstallem
2, pokud napadený stroj upgraduju na aktuální verzi problém si pravděpodobně na 99% nesu sebou dál a nemůžu se divit že to nefunguje

[Dalibor Toman]

2, pokud napadený stroj upgraduju na aktuální verzi problém si pravděpodobně na 99% nesu sebou dál a nemůžu se divit že to nefunguje

doposud zadne napadeni IMHO neumi prezit upgrade jinak nez v CFG stroje (spustene nechtene sluzby/skripty a nezadouci uzivatele apod). Navic MT pridal do upgradovaciho mechanismu smazani vseho, co na partitisne nema co delat. Takze kdyz pomineme hypoteticke scenare, kdy by infekce mohla prezit v dalsich partisnach (jak by se spoustela?) apod, dovolil bych si ten pomer obratit a rici, ze v 99% pripadu vycisteni CFG, zmena a nasledny upgrade + zmena hesel vede k tomu, ze zarizeni nespravuje nekdo jiny nez ja.

[pgb]

Jasně, teď tu o karkulce. Celý ekosystém Linuxu je velmi komplexní ..... MK sice implementoval mechanismy pro kontrolu obsahu na disku, ale těch variant bylo tolik, že tam mohlo něco přežít ze staré infekce. Proto mk sám doporučoval netinstall, pokud se i po aktualizaci vyskytovalo podezřelé chování. Nehledě na to, že vir se uměl schovat údajně i do jiného oddílu. Proto ten netinstall.

[Dalibor Toman]

Jasně, teď tu o karkulce. Celý ekosystém Linuxu je velmi komplexní ..... MK sice implementoval mechanismy pro kontrolu obsahu na disku, ale těch variant bylo tolik, že tam mohlo něco přežít ze staré infekce. Proto mk sám doporučoval netinstall, pokud se i po aktualizaci vyskytovalo podezřelé chování. Nehledě na to, že vir se uměl schovat údajně i do jiného oddílu. Proto ten netinstall.

kdyz uz chces byt paranoidni, tak co takovy virus v BIOSu/firmware? Ani netinstall te nezachrani

[pgb]

mě říkali že jsem paranoidní, když jsem vypínal winbox mac server, před normální winbox jsem stavěl firewally, defaultní politiku na inputu mám drop a víš co ... ono se mi to vyplácí

[Dalibor Toman]

mě říkali že jsem paranoidní, když jsem vypínal winbox mac server, před normální winbox jsem stavěl firewally, defaultní politiku na inputu mám drop a víš co ... ono se mi to vyplácí

no jo , kazdy mame jinou diagnozu

[honzam]

mě říkali že jsem paranoidní, když jsem vypínal winbox mac server, před normální winbox jsem stavěl firewally, defaultní politiku na inputu mám drop a víš co ... ono se mi to vyplácí

Už chybí povolit přístup jen z jedné IP adresy. A na tu IP adresa posadit VPNku Né dělám si srandu, ale vyplácí se to

[pgb]

z venku pouze to co chci. Established related, ICMP, VPN, + co je potřeba a drop. V lokální síti místo vpn dám managment rozsah. Jo je to striktní.

[Jiří Staněk]

Netinstall bych samozřejmě udělal, kdybych měl nějaké pochybnosti že se MK chová divně nebo že něco přibylo.
Jediné co se ale stalo, byla změna toho usera a nefunkčnost upgradu. Aktualizaci to našlo, ale nebylo schopno uložit do paměti.
Po restartu už se s tím nedá domluvit vůbec. Z formátoval jsem nand, memory test, vše proběhne v pořádku.
Na adresu z netinstallu si šáhne a je tam vidět, ovšem jak na něj kliknu, zmizí balíčky které tam normálně jsou, jako bych chtěl flešovat jinou architekturu.
Na všech strojích mám samozřejmě pořešený přístup z venčí omezením z IP a změněny default porty.

[Pintero]

Ten board není napadenej virem, je proste hardwarově v prdeli... Už se mi to u pár kousků s default adminem stalo.

[mirek.k]

Me CCRko spadlo do default admina pri zaplneni HDD. Po restartu zbyl už jen Netinstall.
Každopádně je to hodně kuriozni reakce at už to je na cokoliv.

[rsaf]

Taky to vidím na úmrtí HW (např. poškozená databáze uživatelů) nebo nějaký SW BUG související s danou (dnes již odepsanou) platformou/typem boardu.
A trošku souhlasím s Hapim, že to v tématu o aktuálních BUGách prostě nemá co dělat.

[honzam]

Připomínám že zítra budou zveřejněny chyby které dokáží schodit celý router na kterém je nastaveno IPV6.
https://blog.mikrotik.com/software/cve- ... stion.html

!!! Proto upgradujte !!!! Není čas

[Selič]

Taky to vidím na úmrtí HW (např. poškozená databáze uživatelů) nebo nějaký SW BUG související s danou (dnes již odepsanou) platformou/typem boardu.
A trošku souhlasím s Hapim, že to v tématu o aktuálních BUGách prostě nemá co dělat.

Kolik to ukazuje vadných bloků na flash?

[jirina.ce]

mě říkali že jsem paranoidní, když jsem vypínal winbox mac server, před normální winbox jsem stavěl firewally, defaultní politiku na inputu mám drop a víš co ... ono se mi to vyplácí

Už chybí povolit přístup jen z jedné IP adresy. A na tu IP adresa posadit VPNku Né dělám si srandu, ale vyplácí se to

Ty si děláš legraci, ale u nás VPN bylo to jediné co po měsíci lítání a netinstalování po síti pomohlo... (domněnka: ty potvůrky se snad napadali po L2 vrstvě navzájem).

Service:
- WWW, WWW-SSL, FTP, TELNET = disable
- API-SSL, SSH, SNMP (oba jiné porty než default) = blokace na jednu konkrétní IP.
- Winbox = povolen pouze na 3 IP (VPN, důvěryhodná a rezervní).

Našli jsme si svůj postup jak znefunkčnit MAC Telnet (ale když chceme a víme jak, tak funguje).

VPN má ochranu, pokud se na ni 2x za sebou špatně přihlásíš, tak BAN zdrojové IP na 30 dní.

Routery mají povolen pouze forward (a na něm určité restrikce pro zničení neobvykle silně agresivních chování), input povolen pouze z těch 3 IP...

Ano je to občas docela voser, když se něco servisuje, ale co se dá dělat.

Pokud máš na RB dost portů, doporučuji jeden vyhradit jako fyzický přístup (servisní port) kde funguje vše bez těch krutých omezení... (v případě nutnosti osobního servisu na POPu).

Na každém POPu jiná hesla (kdo zná klíč podle kterého se definuje heslo, tak to není takový problém)...

Také mi říkali, že to přeháním, nakonec ta VPN byla uznaná jako dobrý nápad. Teď pracuji na tom, aby byl management, (dohled-nagios) oddělen od uživatelských dat (zkouším několik bláznivin jako EoIP, VLAN, atd.)...

Víc nevyzradím, nebo mi utrhnou hlavu