Hack mikrotiku ?

[Warcz]

Ahojky,

Mam takový blbý dotaz. Když se přihlásím do mikrotiku do DNS, tak mi pořad v DNS keši vyskakuje jedna stránka. Hned jak to flustnu tak tam je. Když vypnu všechny DNS servery tak se tam pořad ukazuje viz printscreen. Myslim si že je volána z mikrotiku. Napada někoho co se tam mohlo stat ?

[Dalibor Toman]

pustil bych sniffer postupne na vsech interfacech ktere ma ten MT zapojene a podival bych se odkud tam ty dotazy chodej.
pripadne jeste muzes kouknout do logu jestli tam nahodou neni neco podezrelehe

[Warcz]

Dělá to tohle: http://screencast.com/t/9yx2sGLMOIVD

- odpojeno DNS do sítě
- VPN měla jiné DNS servery

[Tomáš Nesrsta]

Co je tam za verzi MK a na cem to jede?

[Stanislav Hrncir]

Takové věci dělají rády cracklé verze, ve kterých běží kromě OS ještě spousta bordelu na pozadí...

[Warcz]

Je to RB750 a nemyslím si, že jsem ji aktualizoval.

[ok2slc]

Mno, tak jsem se díval do "svého" firewallu a mám to tam taky... Ten DNS dotaz přichází z wan z různých ip, vypadá to jako nějakej boot. Stačí zaříznout DNS z wan a je pokoj.

[Warcz]

Pořad tomu moc nerozumím. Jak to může přicházet z venku když mam DNS vypnuty ? jaké pravidlo udělat aby se to droplo na firewallu ( nebo legovalo z jakého PC ten dotaz přichází ? ). Asi trochu nechápu jak ta služba DNS na Mikrotiku funguje.

[Majklik]

Tohle ti bude logovat, kdo se dotazuje na ten router na DNS:
/ip firewall filter add chain=input protocol=tcp dst-port=53 action=log log-prefix=DNSotrava connection-state=new place-before=1
/ip firewall filter add chain=input protocol=udp dst-port=53 action=log log-prefix=DNSotrava connection-state=new place-before=1
Pokud ve firewallu neblokuješ přístup na port 53 (TCP i UDP) a je nastaveno v /ip dns allow remote request, tak se může ptát kdokoliv.

[Warcz]

Během chvilky mi to zapsalo 1,5Mb logu:

Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 186.2.165.38:37820->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 186.2.165.168:23119->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 115.238.186.50:54342->82.209.24.163:53, len 62
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 190.115.19.52:24470->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 190.115.19.48:18265->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 109.163.232.145:38959->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 186.2.165.30:63985->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 109.163.232.20:32948->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 190.115.19.19:25345->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 162.218.30.204:50196->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 162.218.30.201:25380->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 190.115.19.91:10617->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 162.218.30.13:21866->82.209.24.163:53, len 62
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 109.163.232.121:45520->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 109.163.232.163:40023->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 190.115.19.11:493->82.209.24.163:53, len 59
Oct/22/2013 09:38:57 firewall,info DNSotrava input: in:ether1 out:(none), src-mac 00:25:90:26:91:99, proto UDP, 190.115.19.53:28315->82.209.24.163:53, len 59

allow remote request mam zapnuto

[ludvik]

Jo, tohle jsem u jednoho klienta řešil. Myslím, že i ty IP jsou stejné (minimálně ruské jméno z Belize je mi hodně povědomé). On tedy není u nás, ale u "konkurence". Ale firewall prázdný ... a DNS povolené remote request (což oni tak mají). SXTčko procesor stabilně na 100% Asi se nějak rozmáhá globální útok.

A nejvtipnější je ta první IP: owner = DDoS-Guard.net Z Ruska, z Rostova na Donu.

[Warcz]

DNS-POVOLENA.png (25.39 KiB) Zobrazeno 4210 x

Ok ale když to vypnu tak přestane DNS fungovat uplně (

[Warcz]

Tak jsem přidal DROP na firewallu a asi vyřešeno.

DROP.png (29.06 KiB) Zobrazeno 4210 x

[Rudolf Dvořák]

Jenom me napada, neni to nejaky bot, ktery hleda cracknute mikrotiky?

Protoze crackute mikrotiky maji vetsinou poupraveny DNS sever (je to viditelne), plus dalsi veci co nevim napriklad backdoor. A bot je vyhledava podle toho jestli je dostupny DNS server a jak mu prelozi nejaky nazev?

[ludvik]

a) proč by někdo na routerboardech používal cracknutou verzi MK?
b) asi jen málo RBček se používá jako opravdu veřejný DNS server (vzhledem k tomu, že je to vlastně jen forwarder). Proč to tam mít tedy z WAN strany povolené?