classic.ISPforum.cz

Ahoj,
může mi prosím někdo zkušenější prozradit, na co "ošklivého" se mám připravit, když v logu vidím hlášky
Je to Mikrotik s veřejnou IP adresou, ROS 6.41.3 nepoužívám žádné dynamické routování a ta IP adresa nepatří ničemu, co bych znal, nebo používal.

Děkuji

Spamuje to hodne?

Jedna moznost je DoS. Druha je miskonfigurace na zdrojove strane.

Jestli to je pro tebe podstatny prvek, skus to odfiltrovat a kontaktovat zdroj at si to poresi.

Jestli to neni podstatny prvek, tak na to asi kasli... BFD nema zadne vunerability(zatim )

No možná je to náhoda, ale o tři dny později hlásil mikrotik dva neúspěšné pokusy o přihlášení winboxem z IP 95.154.216.151 na účet administrátora (a jméno není standartní "admin", ale jiné vymyšlené - nechápu jak ho zjistil). Za další dva dny mi do mailu přišlo upozornění na špatné přihlášení ze stejné adresy. Shodou náhod jsem zrovna u toho mikrotiku seděl a když jsem se podíval co se děje, tak byl hacknutý mikrotik. Okamžitě jsem odříznul WAN port a aktualizoval na 6.42.5
Podezřelé taky je, že poslední týden se mi občas objevuje při zadávání dotazů na Google captcha test, jestli nejsem robot, protože moje IP adresa je prý zdrojem neobvyklého provozu. Nevím jestli je hacknuté ještě něco, nebo jestli provoz dělají děti a jejich kamarádi, protože v tomhle vedru jsou všichni zalezlí doma u kompů. Zatím to bezvýsledně hledám.

johnyboi píše:Spamuje to hodne?

Jedna moznost je DoS. Druha je miskonfigurace na zdrojove strane.

Jestli to je pro tebe podstatny prvek, skus to odfiltrovat a kontaktovat zdroj at si to poresi.

Jestli to neni podstatny prvek, tak na to asi kasli... BFD nema zadne vunerability(zatim )

A proč jsi upgradoval až po napadení? Útočník zjistil heslo a usera velmi jednoduše a teď ti tam vleze kdykoliv i když už heslo změníš. Nejlépe neinstall a jiné user/heslo, povypínat IP services, co je třeba, hodit na nestandardní port, dostup z jen tvých IP. To by mohlo pomoci. mpcz, 3.aug.2018