classic.ISPforum.cz

Zdravím,
posledni asi 3-4 dny sleduji hodně pokusů o přihlášení na klientska zaŕizení s 1:1 NATem z jinych jednotek s 1:1 NATem v nasí síti. Nebylo by to asi nic zvláštního, kdyby to nebylo z mé vlastní síte ... z venku to máme ošetřené na FW ze web,telnet,ssh atd. jednotek nejsou z venku dostupne nicmene zevnitr jsme to tak nejak "zapomneli/nepotrebovali" osetrit. Nezacalo se nekomu dit neco podobneho? Dělá mi to tak 30 adres v síti mozna i víc z cca 1000 klientů. Myslíte, ze se jedna o napadené počítače za těmito IP ? (Viz. screenshot). Spis mi nejde do hlavy ze z niceho nic tolik naráz kdyby se jednalo o 2 ip adresy tak si ty lidi obvolam ale takdle jsem to zakazal na FW a premyslim kde se stala chyba ....
Dík

V IP/services si vypni telnet,SSH a máš klid

To jsem zatím nezaregistroval, ale je zvláštní, že se to projevuje jen na TIKách na které je udělaný NAT1:1 (kdyby to bylo uvnitř a scannovalo vnitřní síť tak bych čekal, že to bude vidět na všech...)
Na některém z mikrotiků, odkud útok pochází, jistě celekem snadno dohledáš jeslti je to napadený TIK nebo nějaký bordel z LAN...

Párkrát už jsem narazil na zavirovaný počítač, který se během pár minut po připojení do LANu snažil dostat na domácí router a jelikož to byl ve sledovanou chvíli Mikrotik, objevilo se to v logu. Zkoušel standardně web, ssh, telnet.
Když koukám na ten log, tak se ty pokusy opakují pořád ze stejných IP a ještě skoro stejně po sobě. Nemůže se ti to někde "cyklit" na trase klient-GW skrz harpin nat atd.?

včera jsem řešil úplně podobnej problém.. z MK ve vnitřní sítí s nastavenou veřejkou a NATem 1:1
tyto MK útočili na náš core box telnetem. Když jsem se na těch inkriminovaných MK na IP/service, vše kromě Winboxu a WWW bylo zakázáno, ale WWW svítilo červěně... to sem ještě nikdy neviděl.
Tak sem provedl preventivně upgrade a zakázal i to www. Zatím klid..

V niektorych pripadoch uplne bezne, zakaz vsetky nepotrebne services. Standartne sme si na MK u klientov len winbox, zvysok vypnut.

Jako jasne, ip services zakazat je reseni toho problemu ale ne reseni toho co se stalo ja samozdrejme telnet a ssh na svych klientech chci pac to bezne pouzivam a terminal ve winboxu mam celkem rad toho se zbavut nechci. Je to zakazane do itnernetu ale v ramci nasi site to bylo doted povolene. Telnet z jedne nasi verejky na druhou sel ale z internetu na kteroukoliv nasi nat 1:1adresu uz ne a byl roky klid. Zatim jsem to vyresil tak ze jsem zakazal ve fw forward na hlavni gw z verejek na verejky portu 22,23 pro 1:1 naty .... Jinak toto je log z jenoho klienta nicmene kdyz jsem tak nejak random prolezl cca 20-30 klientskych jednotek tak sem napocital cca 30 adres dohromady z kterych to leti. Pridavam PS z jiné jednotky.

Sit je routovana - kazde AP ma neverejny /24 blok pro klienty a na hlavni gw se to 1:1 na verejku
Kazdy klienta ma 1:1 NAT krom vyjimek, kteri maji primo verejku(firmy)
Kazda verejka na kterou je natovana neverejka projde nejakym zakladnim FW estabilished, connected atd. s blokem par portu
U nikoho nemam hairpin
U par klientu co maji 1:1 je dst-nat nejakych portu (treba kvuli PS4 atd.) ale to by na to asi nemelo mit vliv.

Večer vypnu FW a zkusim prez connections najit z kama to jde, neprijde mi normalni ze by 30-40 lidi zaroven chytlo nejaky bordel do pc co by mi zkousel hesla

To, ze sa na mikrotiky z wan siete dotazuju neustale roboti je zname, vcera cca o 18.00 sa v nasej sieti zacali telnet utoky medzi jednotlivymi MT na nasej sieti. Myslel som, ze ide o nejaky bootnet, ktory bol v danom case aktivovany u nasich zakaznikov. Skusil som spustit filter, kde mam vyblokovane vsetko okrem nasich admin ip a povolene iba konkretne porty - nepomohlo. Zakazal som eth, rovnako bez vysledku - t.j. od zakaznika z pc to neslo. Vzdy islo o MT s verejnou IP a z mt odchadzalo tisice connections do nasej siete ale i do wan - telnet bol prioritne ale nie vylucne. Zmena user konta na mt nepomohla, t.j. ani hacknuty login do nebol. Co bolo spolocne bola verejna ip a verzia ROS = 6.32.4 a 6.36.4. Vsetko bolo vyriesene upgradom na 6.40.6 posledny bugfix. Vyzera to byt na problem verzie ROS.

a to máme +- rok od valut7 na kterej jsme se všichni totálně vysraly. Ani jsme si nepřečetly change logy s opravou.

Mimochodem https://forum.mikrotik.com/viewtopic.ph ... 77#p650160

My mame celou sit krom hlavni GW aktualne na 6.39.2. Takze budeme upgradovat ...

HAPI: Diky za odkaz vubec jsem o tom neslysel...

hapi píše:a to máme +- rok od valut7 na kterej jsme se všichni totálně vysraly. Ani jsme si nepřečetly change logy s opravou.

Mimochodem https://forum.mikrotik.com/viewtopic.ph ... 77#p650160

kdyz pominu shodu podmetu s prisudkem, na kterou seres dlouhodobe pro zmenu Ty, tak je IMHO mnohem pravdepodobnejsi, ze se jedna o napadene klientske zarizeni. Zrovna vcera jsem si u nas v siti delal analyzu, protoze na jedno Cisco byl prisernej smokeping. Pristupovy access-list povoloval cele nase verejne IP rozsahy a telnet scany od klientu obsadily vsechny volne VTY linky, cimz se pretizilo CPU. Na forwardovana data to samozrejme vliv nemelo. IP, ktera se za poslednich 24h pokousela o pripojeni, byla IP klientu, ne Mikrotik zarizeni.
Netusim, jestli se jedna o napadene PC nebo wifi routery u zakazniku...

o tom napadeným klientu bych pochyboval... já pozakazoval i ethery ke klientům a ten traffic a útoky tam byly pořád.
vyřešil to fakt až upgrade

Ono se staci podivat na log, ze je to skutecne problem RoS:

19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:41053->xxx.xxx.xxx.xxx:23, len 60
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 52
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 55
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 61

Pomuze upgrade.
Zakazani telnetu je jen vyreseni dusledku na druhe strane, ale ne priciny.

Tuší někdo o jaké verze se týká? Changelogy čtu, ale třeba proti 6.39.3 jsem tam nic nenašel (a nebo jsem slepý).

zatim vechny IP, co jsem testoval (z tech, co prokazatelne zkouseji nejake scany), jsou primo IP klientu (davame jim verejky). Nenasel jsem zatim zadnou gateway IP (MT co je pred zakaznikem), ktera by delala neplechu. Mozna to souvisi s tim, ze web interface mame (a telnet taky) na tech MT zakazany. I kdyz jak to vypada nikdo nevi jiste jakym zpusobem se ta infekce do MT dostane

Nekteri klienti scanuji i port 8291 (Winbox), mozna nekteri z tech klientu maji MT jako router