Pokusy o přihlášení na Mikrotiky

[basty]

U me na všech veřejných čisty. Ale radši jsem změnil výchozí porty pro jistotu než se to objasní.

[CrazyApe]

Na hlavní GW jsem taky zablokoval forward pro celou síť 8291 pro jistotu...

[honzam]

Zatím v síti nic. Máte to někdo kdo máte zakázaný winbox port zvenku?

Support píše:
While we are looking into this problem:

1) Protect your device (any service) from attacks by using firewall. If you definitely need an open access for some service then either whitelist IP or domain name or use port knocking;
2) Make sure that there is no user called admin on your router configured;
3) Make sure that you change passwords for all the users if there is a chance that your device was affected;
4) Make sure that you are running latest RouterOS version to be sure that this is not a problem which is already resolved in the past.

[mrazek609]

Tak mám taky jeden router. Nijak zvláštně se ale nechová, ani žádná komunikace mimo běžnou.

[Invia]

To ze se nijak zvláště nechová, toho bych se bal vic člověk nikdy nevi, jake prava dany člověk díky exploitu ma a co vse je schopen skryt.

[mrazek609]

Mám ještě jeden případ 10 minut starý. Tady si parchanti udělali vlastní firewall (verze 6.41.3).

chain=input action=accept src-address=173.208.219.0/24 log=no log-prefix=""
chain=input action=accept src-address=91.215.158.0/24 log=no log-prefix=""
chain=input action=accept src-address=208.110.66.0/24 log=no log-prefix=""
chain=input action=accept src-address=188.92.74.0/24 log=no log-prefix=""
chain=input action=accept protocol=udp log=no log-prefix=""
chain=input action=accept protocol=tcp dst-port=10000-65535 log=no log-prefix=""
chain=input action=accept protocol=udp log-prefix=""

Momentálně jsem na hlavní GW zablokoval forward 8291 než se bude vědět co dál.

[disk]

Nemate zapnuty pripojeni do cloudu?

[pgb]

mk na foru žádá, aby se na support obraceli lidé se stejným postižením, poslali supout a ideálně umožnili vzdálený přístup

https://forum.mikrotik.com/viewtopic.php?f=2&t=133438#p656192

Everyone who seems to be affected (did see failed login attempts from unknown IP which in the end resulted in successful login attempt) and did see these files created on the router - please write to support@mikrotik.com. Send to us supout file from your router. If it would be possible to get remote access to your router, then it would be the best way how we can try to determine in what way attacker did gain access to your router

[KoZLiCeK]

a nestaci jen povolit pristup z určitých adres?

[pepulis]

a nestaci jen povolit pristup z určitých adres?

Taky si myslim, v ip services a v users mam vzdy rozsahy, ze kterych muzu do RB pristupovat. Zatim klid a snad i bude ...

[pgb]

To je trochu nejisté, zatím nikdo nic pořádně neví ... pokud se budeme bavit čistě o winboxu a jeho službě v routeros, tak se neví, v jakém kroku dochází k problému. Také mám vyplněno ip services address, ale to znamená že o přístupu k tomu démonu rozhoduje ten démon sám. Démon jako takový je stále dostupný a to může znamenat potencionální ohrožení (není blokován jinou službou - firewallem).

PS: démon = daemon = označení pro běžící službu v linuxu/unixu ....

[Noxus28]

To je trochu nejisté, zatím nikdo nic pořádně neví ... pokud se budeme bavit čistě o winboxu a jeho službě v routeros, tak se neví, v jakém kroku dochází k problému. Také mám vyplněno ip services address, ale to znamená že o přístupu k tomu démonu rozhoduje ten démon sám. Démon jako takový je stále dostupný a to může znamenat potencionální ohrožení (není blokován jinou službou - firewallem).

PS: démon = daemon = označení pro běžící službu v linuxu/unixu ....

hmm tak to som sa aj ja zatiaľ spoliehal na services asi to radšej prekopem na FW

[medvedkov]

pokud mám už router napaden, poradí někdo jak se té potvory zbavit? Stačí přehrát přes netinstal nebo jen zaktualizovat?

[Dalibor Toman]

To je trochu nejisté, zatím nikdo nic pořádně neví ... pokud se budeme bavit čistě o winboxu a jeho službě v routeros, tak se neví, v jakém kroku dochází k problému. Také mám vyplněno ip services address, ale to znamená že o přístupu k tomu démonu rozhoduje ten démon sám. Démon jako takový je stále dostupný a to může znamenat potencionální ohrožení (není blokován jinou službou - firewallem).

PS: démon = daemon = označení pro běžící službu v linuxu/unixu ....

Predpokladal bych, ze primarni obsluhu vsech sluzeb v prvni fazi dela nejaky obecny demon (inetd resp xinetd z linuxu), ktery provede kontrolu IP adres a pak teprve pripadne zavola binarku/skript obsluhujici konkretni sluzbu. Takze pokud neni zranitelnost primo v tom xinetd (sance je mensi, protoze ten demon jen prijme spojeni ci UDP packet a nemusi koukat na vlastni data, spusti cilovou binarku a pak jen prehazuje data) melo by omezeni IPcek stacit k tomu aby se napadnutelny winbox demon vubec nedostal ke slovu.
Ale samozrejme to muze byt udelano i bez toho mezikusu s xinetd a pak by bylo na kazde sluzbe aby zkontrolovala povolena IP.

[Dalibor Toman]

pokud mám už router napaden, poradí někdo jak se té potvory zbavit? Stačí přehrát přes netinstal nebo jen zaktualizovat?

IMHO by mel stacit upgrade na dalku. Od 6.38.5 (resp 6.37.5 bugfix) ma RouterOS pri instalaci mazat kolem sebe vsechno, co na flashce nema co delat (v systemove oblasti)