MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[mpcz]

To asi nebude, jen se mi nechtělo strkat takovou potvoru do vlastích IP, když ani přesně nevíme, co to umí. Raději si počkám na nějaký vzorek odjinud.
Jen pro zajímavost, systém skenovaní se od minula změnil. Adresy to zdá se vybírá náhodně. Možná jiná verze.
Mimochodem, nemůžu se vyznat v tom torchu, co je zdrojová a co cílová adresa. Někdy mi to sedí, někdy se mi to zdá naopak. A dá se vypnout ten překlad čísel portů na názvy? mpcz, 1.7.2018

torch_útok_2.jpg (63.68 KiB) Zobrazeno 3512 x

[pavel1tu]

Pročíst toto téma byl výkon, stejně nejsem moudrý, tak se raději optám.

1) Mám zakázané všechny přístupy administrace mimo Winboxu (ano jsem LAMA co jej používá, tedy terminál v něm)
2) Winbox - mám nastavený jiný port
3) MT má z WAN dropnutý INPUT na portu 8291 (házím to i do AdresListu na 48h abych mněl seznam IP)

Dá se říci, že jsem udělal maximum pro zabezpečení proti tomu viru či co to je ?

Děkuji

PS: A je jisté, že ty zařízení co mne očuchávají na tom portu 8291 jsou nakažená ? Nebo je to normální vlastnost Mikrotiku že hledá po síti další MT ?

[Noxus28]

1- asi myslíš IP services
A máš ten zmenený port winboxu dropnutý z WAN? ak áno a nemáš tam nejaký ďalší mikrotik v LAN na ktorý je možnosť sa dostať cez DST-nat tak by si mal byť aspoň pred doterajšími hrozbami v suchu.

port 8291 zdravý mikrotik sám od seba neskenuje.

[hapi]

Pročíst toto téma byl výkon, stejně nejsem moudrý, tak se raději optám.

1) Mám zakázané všechny přístupy administrace mimo Winboxu (ano jsem LAMA co jej používá, tedy terminál v něm)
2) Winbox - mám nastavený jiný port
3) MT má z WAN dropnutý INPUT na portu 8291 (házím to i do AdresListu na 48h abych mněl seznam IP)

Dá se říci, že jsem udělal maximum pro zabezpečení proti tomu viru či co to je ?

Děkuji

PS: A je jisté, že ty zařízení co mne očuchávají na tom portu 8291 jsou nakažená ? Nebo je to normální vlastnost Mikrotiku že hledá po síti další MT ?

hezký hezký ale kde máš upgrade mikrotiku na last verzi?

[basty]

trochu OT, ale da se nastavit v dude jiny vychozi port na winbox? V souvislosti s touto kauzou?

[pavel1tu]

hezký hezký ale kde máš upgrade mikrotiku na last verzi?

OK,
Mikrotik mám asi 2 měsíce, samozřejmě poslední verzi mám,
také "admin" zrušen + nový uživatel s tvrddým heslem,
hesla nikam neukládám,
a tak dále ...

[ludvik]

Vzhledem k tomu, že všichni tvrdí, že problém s winboxem vznikl v 6.29 - a přitom prokazatelně existuje i v 6.28, tak bůhvíkolik bordelu tam ještě někdo objeví.

[whef]

Tak tu máme nový den a nový průnik, byla to tedy starší verze MK 6.38 chystal jsem se k Upgradu. Nelze nahrát novější verzi MK, pokusy o přehrání to všechny smaže.

[Zsir]

Ono těch dir tam bude více. Akorát to do teď nikoho moc nezajímalo.

Hlavně zabezpečit MikroTiky co mají veřejky.

[whef]

Otázka je, jak zabezpečit. Měníme hesla dáváme nové MK, všechny porty byli zakázány, dohled jen z lokalu, ale pokud se infikuje nějaký počítač tak je to stejně v háji.

[Dalibor Toman]

Vzhledem k tomu, že všichni tvrdí, že problém s winboxem vznikl v 6.29 - a přitom prokazatelně existuje i v 6.28, tak bůhvíkolik bordelu tam ještě někdo objeví.

muzu potvrdit, ze v 6.28 lze zjistit hesla.

[hapi]

Vzhledem k tomu, že všichni tvrdí, že problém s winboxem vznikl v 6.29 - a přitom prokazatelně existuje i v 6.28, tak bůhvíkolik bordelu tam ještě někdo objeví.

muzu potvrdit, ze v 6.28 lze zjistit hesla.

jistě, ale jedna cesta je winbox a druhá web a každá byla jindy a opravena jindy.

[Dalibor Toman]

Vzhledem k tomu, že všichni tvrdí, že problém s winboxem vznikl v 6.29 - a přitom prokazatelně existuje i v 6.28, tak bůhvíkolik bordelu tam ještě někdo objeví.

muzu potvrdit, ze v 6.28 lze zjistit hesla.

jistě, ale jedna cesta je winbox a druhá web a každá byla jindy a opravena jindy.

rec byla o winbox vulnerability a oficialne vypustene informaci, ze problem vznikl v 6.29. Proc pises o Chimay-Red netusim..

[ludvik]

Zkus si jeden z těch python scriptů, na které jsi sám sem dával odkazy.

Vzhledem k tomu, že všichni tvrdí, že problém s winboxem vznikl v 6.29 - a přitom prokazatelně existuje i v 6.28, tak bůhvíkolik bordelu tam ještě někdo objeví.

muzu potvrdit, ze v 6.28 lze zjistit hesla.

jistě, ale jedna cesta je winbox a druhá web a každá byla jindy a opravena jindy.

[mpcz]

Zdravím,
vracím se k zásadní otázce: jak poznat, že mikrotik je čistý. To je totiž v okamžiku upgradování dost důležitá informace neboť jinak projížďka. Mám tu stroj, který jsem si nechal nakazit a nic na něm není vidět. Po zjištění hesla a vlomení do systému vidím normální obsah, který se nijak neliší od standardu. Vidět je pouze chrlení a to jen občas a abnormální zátěž CPU, přitom na LANce není nic. Takže zbývá ta "tajná", druhá partition. Ať se tím nemusím trápit: jak ji v tom BUSYBOXU nejlépe odhalit? Příkazy jsou totiž značně osekané, mé znalosti LINUXu ubohé. Mimochodem, s tím BusyBoxem je to nějaké divné, ať měním zdrojový soubor pro exploit jak chci, v Mikrotiku je stále stejná verze BB 1.0 s osekanými příkazy. Takový FDISK (nebo něco podobného) by se šikl. Nebo je to tak, že už v ROSu Busybox je a nejde přepsat, když běží? mpcz, 02.jul.2018