Zneužívání routerboardu k útoku

[MartyMcFly]

Zdravím,
Momentálně řeším problém na mé bráně. Používám RouterOS 3.20 pro platformu x86. Všechno pracoval výborně až do doby před 2 dny kdy se začalo zvětšovat zatížení CPU z průměru 5% na 50% a tok na ether1 (WAN) se začal zvětšovat traffic, který ovšem nebyl uživateleský. Lehce řečeno uživatelé traffic negenerovali stahováním, ale nějakým způsobem jen ether1.

Proto jsem hned začal zkoumat co se to vlastně děje. Heslo a login jsem vždy používal dost silný a po kontrole logu jsem nezaznamenal žádnou neoprávněné přihlášení či změnu konfigurace. FW využívám již delší dobu bez problémů dle návodu

Kód: Vybrat vše

http://www.juldian.com/firewall-basic-mikrotik/

Již s s tímto nevím rady a proto bych se Vás všech chtěl zeptat zdali jste někdy podobný problém neměli a v případě, že ano jak jste ho řešili.

P.s. Pro všechny, kteří chtějí pomoci jsem vytvořil domo účet na ip 89.203.140.21 , login: demo .. předem všem děkuji za pomoc.

[hapi]

hmm, takže ty envíš čim to je, ale prostě napíšeš že někdo zneužívá tvoje RB k útoku, no to je opravdu hezky popsaný vlákno.

[MartyMcFly]

Píšu to protože, z torch ether1 jsem vydedukoval, že hodně paketů a dat např. se směrují na ip vyhledávače Google. A to není normální stav pokud se toto projevuje jen na ether1 a né na klientském ether2 nebo ether3.

[Pintero]

A nemuze to byt treba DOS utok smerujici na ver. IP, kterou mas nastavenou na WAN?
(na demo jsem nekoukal...)

[MartyMcFly]

Zdravím,
Tak jsem problém vyřešil. Problém byl v tom, že nějaký robot využíval port 8080 k nekalostem. Problém jsem vyřešil pravidlem do FW, které jsem aplikoval na ether1 a zakázal jsem využívání tohoto portu. Na výsledek se můžete podívat v demu.

[Zbojnik]

a nepouzivas tam nahodou proxy na tom porte 8080???

ak ano a nemal si to zakazane z vonku (wan - asi eth1), tak niekto vyuzival tvoju ip na maskovanie.... skratka sa schovaval za tvoj proxac...

[net.work]

a to se vyplatí ;)

skratka sa schovaval za tvoj proxac...