Pokusy o přihlášení na Mikrotiky

[mrazek609]

Tak to jsem rád, že jsem to pochopil správně. Takže to vypadá ZATÍM tak, že alespoň dočasný/náhradní indikátor funguje.
Ještě k tomu torchu, zdá se mi, že funguje nějak divně, třeba roletka port 8291, winbox volba a 2. winbox volba (?), dává různé výsledky, navíc se to po chvíli zasekne a dost často se zasekne celý Winbox 3.13/Win10. Toho jsem si dříve nevšiml. mpcz, 20.5.2018

To mi dělá již mnoho let a několik verzí zpět. Není nad to v torch vyplnit port (třeba 8291) ručně, protože jak dám winbox nebo ssh cokoliv, tak nezobrazuje všechnu komunikaci.

[mpcz]

Tak to jsem rád, že jsem to pochopil správně. Takže to vypadá ZATÍM tak, že alespoň dočasný/náhradní indikátor funguje.
Ještě k tomu torchu, zdá se mi, že funguje nějak divně, třeba roletka port 8291, winbox volba a 2. winbox volba (?), dává různé výsledky, navíc se to po chvíli zasekne a dost často se zasekne celý Winbox 3.13/Win10. Toho jsem si dříve nevšiml. mpcz, 20.5.2018

To mi dělá již mnoho let a několik verzí zpět. Není nad to v torch vyplnit port (třeba 8291) ručně, protože jak dám winbox nebo ssh cokoliv, tak nezobrazuje všechnu komunikaci.

Z tohoto pohledu vidím vychvalování vynikající práce MKT některými kolegy v divném světle. Když nejsou schopni několik let odstranit tak jednoduché věci jako toto nebo desítky jiných, jakou mají naději proti vyspělým útočníkům? No, nezbývá, než doufat. mpcz, 20.5.2018

[mrazek609]

Je to sice chyba a nevím jestli ji pozorují všichni. Ale mě stejně lépe vyhovuje si vyplnit port ručně za vteřinu, než ho dobu hledat v sloupečku pod názvem.

edit: když jsme u toho, tak v torch dám protocol tcp a port najdu ve sloupci winbox, tak nevidím žádnou komunikaci. Jen když si dám ručně port 8291, tak vidím vše. To může být celý problém těch, kteří hlásí, že po napadení není vidět komunikace. Jinak to dělá i zdravý nenapadený router.

[mpcz]

Tak, tak ... A proč tam jsou ty Winboxy v roletce dva, bez dalšího odlišení, ví někdo? No hledat to v té roletce, to je teda opruz. A ty zvýšené záseky Winboxu, pozoruje někdo? mpcz, 20.5.2018

[Filipová Ludmila]

To není špatná myšlenka, takže znovu prosím o překlad:
L. F.: "Torch si nechávám vypsat na nácestném zařízení přes které jdou data z zařízení na které se připojuji."
Děkuji, mpcz, 20.5.2018

Tedy mám bránu do internetu port 1 jde do inetu port 2 (na tomto portu spouštím torch) propojuje jiný další routr dále v síti který byl napadený. Proč to dělám takto složitě, protože zavirované routry mám zaheslované heslem viru takže se podívám pouze z sousedního routru.

Berte to tak, že jsem 75 letá dáma která je ráda, že tomu tak trochu rozumí. Jako opravdu hapi to tuším ví díval se kdysi na ares.

Problém u tohoto viru je ten, že skoro vše může být pravda. U mne například 2 routry byli zaheslované a po 24 hodinách se technik do nich dostal čirou náhodou když se uklikl v winboxu o 1 řádku níže. Někdo si s námi dost ošklivě hraje a mám divné tušení, že toto je jen začátek něčeho "lepšího". Protože na rovinu věřit MK, že něco opravili to tu bylo již mockrát a najednou se ukáže, že zase to samé nebo v bleděmodrém variace na to předchozí.

LF

[Myghael]

Nevím teď přesně co si představit pod tím kliknutím o řádku níže, tedy kromě seznamu adres, avšak to by se pak ten technik připojil někam jinam? S tím zbytkem plný souhlas, ať už je ti/vám (dle názoru na "netiketu") 25, 75 nebo třeba 150 let.

[SpeedyGT]

Mě například do mikrotiků ťuká dost zařízení, které mají první 2 oktety IP adresy shodné. Nevím jestli je to náhoda, ale jde z toho cca 95% všeho přístupu na port 8291. Cca polovina těch IPeček dokonce odpovídá na portu 80 a je na ních logovací okno do mikrotiku. RoS na tikách co se otvírají nejčastěji jsou 6.30.4-6.34.4.

[mpcz]

Není to náhoda, už jsem to tu psal. Jsou to nakažené stroje, v CZ jsem si to ověřil osobně telefonátem. A také to, že pokusy zachycené v logu zase mají IP úplně odlišnou. mpcz, 20.5.2018

[SpeedyGT]

Jinak u nás v síti máme odjakživa přístup winbox na portu 8291 ponechán pouze pro rozsah veřejnách IP adres z našeho AS + z lokální 10.0.0.0/8 sítě a nevím o žádném napadeném mikrotiku (ťuky ťuk). Web na 80tce všude vždy vypnutý.

[Myghael]

Máme to stejně a rovněž není problém. Máme pokusně vystaveno na veřejku RB532 s ROS 5.26 a zatím žije.

[iTomB]

Tak tohle ma kamos, vecer resime ...
Do PC se mi nic nestahlo, pripojeno pres winbox 3.13.
Zadne pripojeni pred a to vice jak 2 mesice.

[mpcz]

Tradiční otázka: torch na WAN port 8291 říká co? Děkuji, mpcz, 21.5.2018

[Dalibor Toman]

DD,

verze ROSu?
soubor 'j' se nachazi ve files? Co obsahuje?


podle https://forum.mikrotik.com/viewtopic.ph ... 99#p650842 se jedna o signaturu utoku z brezna. Takze IMHO myslim, ze se zjisti, ze:
je tam stary ROS s Chimay-Red problemem (zapnuty ip services web) , ktery nekdo na dalku zkousi vyuzit ke spusteni /tools fetch ke stazeni a naslednemu spusteni nejakeho slozitejsiho skriptu/binarky

[Dalibor Toman]

Tradiční otázka: torch na WAN port 8291 říká co? Děkuji, mpcz, 21.5.2018

pravdepodobne se zjisti, ze ten MT utoci na winbox, ale take muze utocit na uplne jinou sluzbu nebo v te chvili nedelat nic (snadno) pozorovatelneho. Takze absence pokusu o spojeni na winbox port nemusi znamenat, ze je MT cisty

[mpcz]

Ano, asi tak bude, ale zas na druhou stránku, pokud bude hltit internet na portu 8291 (nebo jiném), tak víme, že je nakažený téměř určitě. A to taky není k zahození, že ... (ne, že bysme po tom toužili). mpcz, 21.5.2018