Pokusy o přihlášení na Mikrotiky

[3com]

Co tohle viz. screen? Na MK 6.41.3 s veřejnou IP to občas skáče z cizích IP zcela mimo naši síť i síť dodavatele konektivity. Neřešit nebo ještě přidat nějaké další pravidlo do Firewallu aby se ani tohle nedělo? V IP-Services vše omezeno pouze na naše IP.

Log

LOG.jpg (233.28 KiB) Zobrazeno 3518 x

[Invia]

Dropni input na všechny IP kromě těch, které potřebuješ pro správu.

[Filipová Ludmila]

Jednalo se o RB 3011UiAS-RM. Verze při koupi byla 6.40 nebo 6.38 nicméně než šla do sítě tak se upgradovala na 6.42.1 ze stolu veřejná IP nebyla nastavena. Při instalaci v síti byl použit jeden a ten samý NB Lenovo. Instalace proběhla tak, že routr byl instalován za SD kdy na protistraně nebyl SD připojen do netu. Z Lenova bylo připojení přes winbox 3.11 možné. Po dojetí na druhou stranu zapojení SD do netu a zapojení NB Lenovo do switche již heslo neplatilo a připojit se už nedalo. Stejné Lenovo stejný 3.11 Winbox.
Jako možný problém infikování se jeví jak popisuje Kryštof Winbox v verzi 2.x který na počítači kde byl na stole konfena 3011 byl instalován, ale nepoužit pro konfení. Pro konfení byla užita 3.11 winbox.
Dnes zajímavý úkaz, technik připojuje klienta a omylem kliká na routr v winbox který nepotřebuje a navíc se na něj nedalo dostat. Ejhle na routr se dostat lze a v logu je vidět, že proběhl upgrade na 6.42.1 který, ale proveden nebyl námi. Postupně zjištěno to samé na dalších 3 zařízení v síti. Na routru není naprosto nic k vidění partition jedna změněna upgrade na 6.42.1 následně na 6.42.2 v heslech nic navíc prostě se to tváří jako by se nic nestalo.
Tady pak musím souhlasit, že utilitka na ocheknutí routru v jakém je stavu by se opravdu hodila. Naprosto netuším co si o routru myslet je ok nebo je potencionálně nebezpečím pro síť?
Web proxy jsme nikdy v files neměly objevili se tam, až co započali tyto potíže.
Aktuálně jsme přímo paranoidní.
Zavířené routry řešíme na NB Asus který je na vyřazení nebo totální formát disku. Čisté konfení probíhá již z NB Lenovo který se dělá bez veřejné IP adresy z připojení na routr za WANkou. Tak jsem zvědavá jak to půjde dále.
LF

[ludvik]

Je fakt, že zaintegrovat do ROS něco jako Tripwire by se hodilo.

[mpcz]

to 3COM: podle mě je to tak, že stroj napadený tímto virem s adresou 123.456.7xx.xxx začne scanovat na svém wanu do internetu IP všechny adresy v rozsahu od 123.456.1xx.xxx. Tím se vysvětluje, proč se na mém rozsahu IP v CZ objeví scan z několika míst na světě. Ale - pokud se v logu objeví pokus o zalogování, bývá to již adresa úplně jiná. To je zatím pouze statistika, nic víc.
to F. L.: vidím, že se hodně píše, ale méně čte - je to jen odhad a dojmologie, ale zkusil technik nahodit torch na WAN a filtr na port 8291? Pokud je stroj napadený, uvidíte tam tu hrůzu. Rozhodně bez záruky, ale co jsem zkusil, bylo to tak vždycky. Koneckonců, nic lepšího jsem tu zatím neviděl. Osobně předpokládám, že pokud by velký poskytovatel konektivity nahodil scaner na tento port a ty co uvidí scanovat upozornil emailem/SMS vyčistil by síť raz dva. Samozřejmě jen tu svou, pro kterou má pohodlné spojení na správce. Tento proces by šel určitě i zautomatizovat, ten skript/SW musí napsat i cvičená opice. mpcz, 19.5.2018

[hapi]

Web proxy jsme nikdy v files neměly objevili se tam, až co započali tyto potíže.

váážněěě?

[Ladik]

Tak se mi zniceho nic na jednom MikroTiku objevil dnes v 19 hod tento radek:
19:02:49 smb,info created new share: pub
ale SMB aktivni neni a nic na MK nenasvedcuje zavirovani, tak me to trosku mate.

[mpcz]

Torch na WANu port 8291 - nic? Třeba odpočívá po výkonu a připravuje se před jízdou mpcz, 19.05.2018

[Ladik]

Torch je uplne cisty a jsem tam na 8291 pouze ja

[ludvik]

se ti někdo podíval na konfiguraci samby. Nemusí se to povolit, ale share si vytvoří.

Tak se mi zniceho nic na jednom MikroTiku objevil dnes v 19 hod tento radek:
19:02:49 smb,info created new share: pub

[mpcz]

To by stálo za podrobnější rozbor. Děkuji. 19.5.2018

[hapi]

Tak se mi zniceho nic na jednom MikroTiku objevil dnes v 19 hod tento radek:
19:02:49 smb,info created new share: pub
ale SMB aktivni neni a nic na MK nenasvedcuje zavirovani, tak me to trosku mate.

tohle už sem viděl na několika bordech už před cca 2 měsíci. Lepší by bylo napsat na mk forum.

[cerva]

19:02:49 smb,info created new share: pub
ale SMB aktivni neni a nic na MK nenasvedcuje zavirovani, tak me to trosku mate.

Děje se to, když na boardu poprvé spustíš příkaz "export". Otestováno právě teď na 6.43rc6

[mpcz]

to Hapi a Cerva: dík, to jsem si trochu oddechl.
to Filipová Ludmila: už jste provedli torch na WAN/port 8291? Je prosím nějaké info z této akce? Děkuji. mpcz, 20.5.2018

[Filipová Ludmila]

Postižená zařízení WAN nepoužívají, nicméně je zajímavé, že na torch se neukazuje pro jistotu nic což je celkem zajímavé. Torch si nechávám vypsat na nácestném zařízení přes které jdou data z zařízení na které se připojuji. Takže provoz by tam měl být pokud jsem připojena, ale není.
Nyní by jsme potřebovali radu jestli neděláme něco blbě. Zařízení s 6.39 a nižší šla netinstalem v verzi 6.42.2 v pohodě, ale zařízení s 6.40.xx a vyšší netinstal bud nevidí (6.42.2) nebo se mu nechce je nainstalit 6.40.1 . Antivir je vypnutý, IP adresy správně 192.168.88.2 na netinstalu, 192.168.88.10 na NB. Instalace u 6.40.1 probíhá jako, že ano, ale po cca 5 sec vypíše v horním okně, že je ready. Takže routr vyresetován do defaultu a pokus o ethboot přes netinstal znovu a znovu to samé. Routr s 6.42.2 to prostě nevidí. Vzniklo to tak, že bohužel došlo k upgrade na zavirovaný stroj. Jenže co tam je za verzi by snad mělo být netinstalu jedno nebo nikoliv?
A jeste jeden postreh na nekterých routrech došlo k úpravě která vedla k zamezení provozu. Jestli bylo šáhnuto do portů nebo do routování říci neumím každopádně nutno počítat i s tímto.
LF