DD,
tak to vypada, ze nejaka kampan na infikovani MT opravdu i u nas bezi/probehla. V datech za dnesek jsem nasel par klientu, kteri maji doma vlastni Mikrotik router a generuji scany na Winbox port (a take telnet). Bohuzel na ty MT samozrejme nemame pristup, tak nejsem schopen potvrdit, ze ten problem je na jejich Mikrotiku nebo na necem jinem.
Klientu od kterych bezi scany a nemaji doma MT je ale zrejme ale porad majorita
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Pokusy o přihlášení na Mikrotiky
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 12 years ago
z MK fora od normise
What's new in 6.38.5 (2017-Mar-09 11:32):
!) www - fixed http server vulnerability;)
Mělo by to být potvrzeno z RIF, prostě se jen teď začalo na starší verze útočit. Pokud máte /ip services web zakázaný tak nic a pokud máte i novější verzi tak bez problémů.
What's new in 6.38.5 (2017-Mar-09 11:32):
!) www - fixed http server vulnerability;)
Mělo by to být potvrzeno z RIF, prostě se jen teď začalo na starší verze útočit. Pokud máte /ip services web zakázaný tak nic a pokud máte i novější verzi tak bez problémů.
0 x
Takže stačí mít 6.38.5 nebo výš a je to OK i se zaplým WEB ? Budu to muset povypinat ale ted na to uplne nemam cas vypinat na 1000 jednotkach WEB 
0 x
-
Dalibor Toman
- Příspěvky: 1246
- Registrován: 12 years ago
CrazyApe píše:Takže stačí mít 6.38.5 nebo výš a je to OK i se zaplým WEB ? Budu to muset povypinat ale ted na to uplne nemam cas vypinat na 1000 jednotkach WEB
skript to zvladne za par minut. A vypnuti WEBu pomuze jen pokud jeste neni jednotka infikovana. Pokud ho mela zapnuty a neni chranena firewallem, tak je mala sance, ze nic nechytla (je-li pristupna z Internetu)
0 x
Ja tim mam napadenych asi 30 zarizeni, ktere jsem nejak nezvladl/zapomnel upgradovat pri montazi. Zatim to vypada ze staci upgrade na 6.40+ ... Regulerne doporucuju vsem co maji neco na verejkach bez FW s pristupnym webem upgrade na 6.40+ a to hned ted pac toto je podobny fail jak UBNT...
0 x
Screen z napadeneho zarizeni. Zakazal jsem eth, klientskou jednotku rebootl a po nastartovani torch wlan.
- Přílohy
-
- 29746160_10212268127840523_540440053_n.png (124.63 KiB) Zobrazeno 2907 x
0 x
Tak jo taky se mě nabouraly do MK a ne do jednoho utoky na telnet winbox a na port 7547 a jedou skeny
Co s tim vždycky jsem blokoval z venku ale asi jsem se malo zajimal co muže líst zevnitř
Co s tim vždycky jsem blokoval z venku ale asi jsem se malo zajimal co muže líst zevnitř
0 x
Přišly jste někdo na něco jak se toho zbavit ?
zakazani webu jaksi nepomohlo po restartu tak 10minut klid a ted znova
zakazani webu jaksi nepomohlo po restartu tak 10minut klid a ted znova
0 x
zakázání pomůže pokud nejsi nakažen, jinak aktualizuj, to pomůže odstranit neautorizované skripty
0 x
mno super to sem zvedavej koli historickejch mk nepujde upgradovat
0 x
Jeste dodám, že věci ve stejném /24 subnetu ktere nemaji pristup k internetu napadene nejsou.
Klienti na IP 10.80.20.X/24 co maji 1:1 NAT jsou napadeni ale anteny nekterych lidi co jsou na stejnem subnetu v bridge atp. jsou OK.
Klienti na IP 10.80.20.X/24 co maji 1:1 NAT jsou napadeni ale anteny nekterych lidi co jsou na stejnem subnetu v bridge atp. jsou OK.
0 x
-
krystofklima
- Příspěvky: 25
- Registrován: 12 years ago
Ahoj všichni,
výjimečně přispívám v tomto tématu, protože od včerejška zvoní telefony jen s tím
Je to známá věc, MikroTik ji opravil již ve verzi 6.38.5 tedy cca před 1/2 rokem.
Včera pro jistotu jsem si s nimi znovu psal a odpověď je stále stejná, je to tato "stará" známá věc.
Dle nich upgradovat na poslední verzi 6.41.3 a je po problému, samozřejmě stačí kterákoli nad 6.38.5
Dále vypnout v IP SERVICES -> port 80 tedy WWW, pokud je nutnost, není problém si koupit certifikát a provozovat HTTPS tedy WWW-SSL
podle mě ideálně vypnout i službu TELNETU, kterou to napadá také a API opět ideálně přesunout pod SSL s koupeným nebo self-signed certifikátem.
SSH běžně nechávám všude zapnuté, to šifrované je, ale posouvám vždy porty mimo alespoň jako částečnou ochranu, ale abych ještě měl nějakou cestu do routeru.
Toť vše k tomuto problému, není co víc řešit.
PS: jen pozor u verze 6.41.3 je předělané kanálování dle upravené "české domény" tedy pokud nepřeinstalujete i klienty, tak se to někdy rozpojí, jsou posunuté kanály o 5MHz...ale to se tu už probíralo v minulých tématech. zase je už vylepšený radar-detect, takže nescanuje tak dlouho, alespoň tam, kde jsem to zkoušel u různých sítí.
Kryštof Klíma
výjimečně přispívám v tomto tématu, protože od včerejška zvoní telefony jen s tím
Je to známá věc, MikroTik ji opravil již ve verzi 6.38.5 tedy cca před 1/2 rokem.
Včera pro jistotu jsem si s nimi znovu psal a odpověď je stále stejná, je to tato "stará" známá věc.
Dle nich upgradovat na poslední verzi 6.41.3 a je po problému, samozřejmě stačí kterákoli nad 6.38.5
Dále vypnout v IP SERVICES -> port 80 tedy WWW, pokud je nutnost, není problém si koupit certifikát a provozovat HTTPS tedy WWW-SSL
podle mě ideálně vypnout i službu TELNETU, kterou to napadá také a API opět ideálně přesunout pod SSL s koupeným nebo self-signed certifikátem.
SSH běžně nechávám všude zapnuté, to šifrované je, ale posouvám vždy porty mimo alespoň jako částečnou ochranu, ale abych ještě měl nějakou cestu do routeru.
Toť vše k tomuto problému, není co víc řešit.
PS: jen pozor u verze 6.41.3 je předělané kanálování dle upravené "české domény" tedy pokud nepřeinstalujete i klienty, tak se to někdy rozpojí, jsou posunuté kanály o 5MHz...ale to se tu už probíralo v minulých tématech. zase je už vylepšený radar-detect, takže nescanuje tak dlouho, alespoň tam, kde jsem to zkoušel u různých sítí.
Kryštof Klíma
1 x