Zdravím,
posledni asi 3-4 dny sleduji hodně pokusů o přihlášení na klientska zaŕizení s 1:1 NATem z jinych jednotek s 1:1 NATem v nasí síti. Nebylo by to asi nic zvláštního, kdyby to nebylo z mé vlastní síte ... z venku to máme ošetřené na FW ze web,telnet,ssh atd. jednotek nejsou z venku dostupne nicmene zevnitr jsme to tak nejak "zapomneli/nepotrebovali" osetrit. Nezacalo se nekomu dit neco podobneho? Dělá mi to tak 30 adres v síti mozna i víc z cca 1000 klientů. Myslíte, ze se jedna o napadené počítače za těmito IP ? (Viz. screenshot). Spis mi nejde do hlavy ze z niceho nic tolik naráz kdyby se jednalo o 2 ip adresy tak si ty lidi obvolam ale takdle jsem to zakazal na FW a premyslim kde se stala chyba ....
Dík
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Pokusy o přihlášení na Mikrotiky
To jsem zatím nezaregistroval, ale je zvláštní, že se to projevuje jen na TIKách na které je udělaný NAT1:1 (kdyby to bylo uvnitř a scannovalo vnitřní síť tak bych čekal, že to bude vidět na všech...)
Na některém z mikrotiků, odkud útok pochází, jistě celekem snadno dohledáš jeslti je to napadený TIK nebo nějaký bordel z LAN...
Na některém z mikrotiků, odkud útok pochází, jistě celekem snadno dohledáš jeslti je to napadený TIK nebo nějaký bordel z LAN...
0 x
-
- Příspěvky: 1361
- Registrován: 9 years ago
- Bydliště: Horní Slavkov
- Kontaktovat uživatele:
Párkrát už jsem narazil na zavirovaný počítač, který se během pár minut po připojení do LANu snažil dostat na domácí router a jelikož to byl ve sledovanou chvíli Mikrotik, objevilo se to v logu. Zkoušel standardně web, ssh, telnet.
Když koukám na ten log, tak se ty pokusy opakují pořád ze stejných IP a ještě skoro stejně po sobě. Nemůže se ti to někde "cyklit" na trase klient-GW skrz harpin nat atd.?
Když koukám na ten log, tak se ty pokusy opakují pořád ze stejných IP a ještě skoro stejně po sobě. Nemůže se ti to někde "cyklit" na trase klient-GW skrz harpin nat atd.?
0 x
- sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
včera jsem řešil úplně podobnej problém.. z MK ve vnitřní sítí s nastavenou veřejkou a NATem 1:1
tyto MK útočili na náš core box telnetem. Když jsem se na těch inkriminovaných MK na IP/service, vše kromě Winboxu a WWW bylo zakázáno, ale WWW svítilo červěně... to sem ještě nikdy neviděl.
Tak sem provedl preventivně upgrade a zakázal i to www. Zatím klid..
tyto MK útočili na náš core box telnetem. Když jsem se na těch inkriminovaných MK na IP/service, vše kromě Winboxu a WWW bylo zakázáno, ale WWW svítilo červěně... to sem ještě nikdy neviděl.
Tak sem provedl preventivně upgrade a zakázal i to www. Zatím klid..
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
V niektorych pripadoch uplne bezne, zakaz vsetky nepotrebne services. Standartne sme si na MK u klientov len winbox, zvysok vypnut.
0 x
Jako jasne, ip services zakazat je reseni toho problemu ale ne reseni toho co se stalo ja samozdrejme telnet a ssh na svych klientech chci pac to bezne pouzivam a terminal ve winboxu mam celkem rad toho se zbavut nechci. Je to zakazane do itnernetu ale v ramci nasi site to bylo doted povolene. Telnet z jedne nasi verejky na druhou sel ale z internetu na kteroukoliv nasi nat 1:1adresu uz ne a byl roky klid. Zatim jsem to vyresil tak ze jsem zakazal ve fw forward na hlavni gw z verejek na verejky portu 22,23 pro 1:1 naty .... Jinak toto je log z jenoho klienta nicmene kdyz jsem tak nejak random prolezl cca 20-30 klientskych jednotek tak sem napocital cca 30 adres dohromady z kterych to leti. Pridavam PS z jiné jednotky.
Sit je routovana - kazde AP ma neverejny /24 blok pro klienty a na hlavni gw se to 1:1 na verejku
Kazdy klienta ma 1:1 NAT krom vyjimek, kteri maji primo verejku(firmy)
Kazda verejka na kterou je natovana neverejka projde nejakym zakladnim FW estabilished, connected atd. s blokem par portu
U nikoho nemam hairpin
U par klientu co maji 1:1 je dst-nat nejakych portu (treba kvuli PS4 atd.) ale to by na to asi nemelo mit vliv.
Večer vypnu FW a zkusim prez connections najit z kama to jde, neprijde mi normalni ze by 30-40 lidi zaroven chytlo nejaky bordel do pc co by mi zkousel hesla
Sit je routovana - kazde AP ma neverejny /24 blok pro klienty a na hlavni gw se to 1:1 na verejku
Kazdy klienta ma 1:1 NAT krom vyjimek, kteri maji primo verejku(firmy)
Kazda verejka na kterou je natovana neverejka projde nejakym zakladnim FW estabilished, connected atd. s blokem par portu
U nikoho nemam hairpin
U par klientu co maji 1:1 je dst-nat nejakych portu (treba kvuli PS4 atd.) ale to by na to asi nemelo mit vliv.
Večer vypnu FW a zkusim prez connections najit z kama to jde, neprijde mi normalni ze by 30-40 lidi zaroven chytlo nejaky bordel do pc co by mi zkousel hesla
- Přílohy
-
- Výstřižek.PNG (79.3 KiB) Zobrazeno 6117 x
0 x
To, ze sa na mikrotiky z wan siete dotazuju neustale roboti je zname, vcera cca o 18.00 sa v nasej sieti zacali telnet utoky medzi jednotlivymi MT na nasej sieti. Myslel som, ze ide o nejaky bootnet, ktory bol v danom case aktivovany u nasich zakaznikov. Skusil som spustit filter, kde mam vyblokovane vsetko okrem nasich admin ip a povolene iba konkretne porty - nepomohlo. Zakazal som eth, rovnako bez vysledku - t.j. od zakaznika z pc to neslo. Vzdy islo o MT s verejnou IP a z mt odchadzalo tisice connections do nasej siete ale i do wan - telnet bol prioritne ale nie vylucne. Zmena user konta na mt nepomohla, t.j. ani hacknuty login do nebol. Co bolo spolocne bola verejna ip a verzia ROS = 6.32.4 a 6.36.4. Vsetko bolo vyriesene upgradom na 6.40.6 posledny bugfix. Vyzera to byt na problem verzie ROS.
0 x
a to máme +- rok od valut7 na kterej jsme se všichni totálně vysraly. Ani jsme si nepřečetly change logy s opravou.
Mimochodem https://forum.mikrotik.com/viewtopic.ph ... 77#p650160
Mimochodem https://forum.mikrotik.com/viewtopic.ph ... 77#p650160
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
My mame celou sit krom hlavni GW aktualne na 6.39.2. Takze budeme upgradovat ...
HAPI: Diky za odkaz vubec jsem o tom neslysel...
HAPI: Diky za odkaz vubec jsem o tom neslysel...
0 x
-
- Příspěvky: 1246
- Registrován: 11 years ago
hapi píše:a to máme +- rok od valut7 na kterej jsme se všichni totálně vysraly. Ani jsme si nepřečetly change logy s opravou.
Mimochodem https://forum.mikrotik.com/viewtopic.ph ... 77#p650160
kdyz pominu shodu podmetu s prisudkem, na kterou seres dlouhodobe pro zmenu Ty, tak je IMHO mnohem pravdepodobnejsi, ze se jedna o napadene klientske zarizeni. Zrovna vcera jsem si u nas v siti delal analyzu, protoze na jedno Cisco byl prisernej smokeping. Pristupovy access-list povoloval cele nase verejne IP rozsahy a telnet scany od klientu obsadily vsechny volne VTY linky, cimz se pretizilo CPU. Na forwardovana data to samozrejme vliv nemelo. IP, ktera se za poslednich 24h pokousela o pripojeni, byla IP klientu, ne Mikrotik zarizeni.
Netusim, jestli se jedna o napadene PC nebo wifi routery u zakazniku...
1 x
- sub_zero
- Příspěvky: 1741
- Registrován: 18 years ago
- antispam: Ano
- Bydliště: Olomouc
- Kontaktovat uživatele:
o tom napadeným klientu bych pochyboval... já pozakazoval i ethery ke klientům a ten traffic a útoky tam byly pořád.
vyřešil to fakt až upgrade
vyřešil to fakt až upgrade
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Jirka Lazorčák
PS: Ta fotka je stará, už mám +15kilo..
Ono se staci podivat na log, ze je to skutecne problem RoS:
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:41053->xxx.xxx.xxx.xxx:23, len 60
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 52
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 55
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 61
Pomuze upgrade.
Zakazani telnetu je jen vyreseni dusledku na druhe strane, ale ne priciny.
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:41053->xxx.xxx.xxx.xxx:23, len 60
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 52
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 55
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 61
Pomuze upgrade.
Zakazani telnetu je jen vyreseni dusledku na druhe strane, ale ne priciny.
0 x
Tuší někdo o jaké verze se týká? Changelogy čtu, ale třeba proti 6.39.3 jsem tam nic nenašel (a nebo jsem slepý).
0 x
-
- Příspěvky: 1246
- Registrován: 11 years ago
zatim vechny IP, co jsem testoval (z tech, co prokazatelne zkouseji nejake scany), jsou primo IP klientu (davame jim verejky). Nenasel jsem zatim zadnou gateway IP (MT co je pred zakaznikem), ktera by delala neplechu. Mozna to souvisi s tim, ze web interface mame (a telnet taky) na tech MT zakazany. I kdyz jak to vypada nikdo nevi jiste jakym zpusobem se ta infekce do MT dostane
Nekteri klienti scanuji i port 8291 (Winbox), mozna nekteri z tech klientu maji MT jako router
Nekteri klienti scanuji i port 8291 (Winbox), mozna nekteri z tech klientu maji MT jako router
0 x