Pokusy o přihlášení na Mikrotiky

[hapi]

přesně tak to je.

[coolerman1]

preco mikrotik na svojich Demo kusoch ma aktualnz ROS a neaktualnz FW ? netreba ?

[hapi]

co je demo kus?

[Robotvor]

Všiml si někdo hlášky v terminálu DEVICE HACKED - ACCOUNT admin HAD UNSAFE PASSWORD ?

Píše mě to v již aktualizovaném zařízení a docela mě to znepokojuje.

[Dalibor Toman]

Všiml si někdo hlášky v terminálu DEVICE HACKED - ACCOUNT admin HAD UNSAFE PASSWORD ?

Píše mě to v již aktualizovaném zařízení a docela mě to znepokojuje.

rekl bych, ze se tam prihlasil nejaky hacker dobrodej a takhle se snazi upozornit, ze heslo je malo bezpecne. Nastavil system note na "DEVICE HACKED ..."

[coolerman1]

co je demo kus?

Myslel som mikrotik demo

http://demo.mt.lv

[honzam]

Všiml si někdo hlášky v terminálu DEVICE HACKED - ACCOUNT admin HAD UNSAFE PASSWORD ?

Píše mě to v již aktualizovaném zařízení a docela mě to znepokojuje.

Tohle bych poslal na support ať se k tomu vyjádří

[Kaja]

A k cemu se maji vyjadrovat. DaliborToman snad napsal jasne cim to je.
/system note set note=DEVICE NOT HACKED
Tim ze je to polozka v konfiguraci to pochopitene aktualizace ROSu nevymaze.

Snad jen vyjadreni k tomu, jestli tohle je jedna z veci kterou provadel ten script (a vetsina postizenych si toho jen nevsimla) nebo jestli to ma na svedomi nejkaky jiny hodny utocnik.

K.

Všiml si někdo hlášky v terminálu DEVICE HACKED - ACCOUNT admin HAD UNSAFE PASSWORD ?

Píše mě to v již aktualizovaném zařízení a docela mě to znepokojuje.

Tohle bych poslal na support ať se k tomu vyjádří

[Dalibor Toman]

chvili jsem si hral a overil jsem si, ze za urcitych okolnosti neni problem stahnout z MT, ktery ma starou verzi ROSu soubor s uzivateli a jejich hesly a dekodovat ho. Na netu se vali kod, ktery umi vyuzit chybu ve WWW serveru na mipsbe architekture (Chimay-red).
Temi urcitymi okolnostmi je krome splneni zrejmych veci - spustene ip services www, absence firewallu - jeste zrejme i to z jake rady je ROS - zda se, ze bugfix rada je z nejakych zahadnych duvodu proti tomu utoku imunni. Tedy verze, co maji privlastek bugfix. 6.30.4 je vedena v changelogu bugfixu ale nema ten privlastek primo ve verzi a hacknout se ji povedlo

Chimay-red byl zminovan hlavne ve spojitosti s infikovanim zarizeni, to ze jde pomoci nej precist mimo jine hesla uzivatelu mozna spouste lidem nedoslo...

Pokud programatori v MT byli schopni nekontrolovat delku dat prijimanych WEB serverem od klientu a dovolit tak prepsat lokalni bufer i za prostor jemu vyhrazeny, pak se da cekat, ze takovych uletu bude v ROSu jeste vic.

[mpcz]

Zdravím, v poslední době se zaplňuje log na GW-jích podobnými záznamy. Může se prosím někdo, kdo se problémem "zavirování" blíže zabýval vyjádřit k tomu, jak to číst a jestli je třeba se tím zabývat, popř. jak? Děkuji, mpcz, 8.may.2018

may/07 05:43:47 pptp info TCP connection established from 113.96.223.207
may/07 05:43:47 pptp info TCP connection established from 113.96.223.207
may/07 05:43:47 pptp info TCP connection established from 113.96.223.207
may/07 05:43:47 pptp info TCP connection established from 113.96.223.207
may/07 05:43:47 pptp info TCP connection established from 113.96.223.207
may/07 05:43:49 pptp info TCP connection established from 113.96.223.207
may/07 05:43:49 pptp info TCP connection established from 113.96.223.207
may/07 05:43:49 pptp info TCP connection established from 61.166.192.164
may/07 05:44:48 pptp info TCP connection established from 113.0.39.6
may/07 05:44:48 pptp info TCP connection established from 101.24.131.171
may/07 05:44:49 pptp info TCP connection established from 125.84.183.108
may/07 05:44:50 pptp info TCP connection established from 223.166.244.3
may/07 05:44:51 pptp info TCP connection established from 117.13.170.89
may/07 05:44:52 pptp info TCP connection established from 123.245.88.229
may/07 05:44:54 pptp info TCP connection established from 125.84.178.162
may/07 05:44:55 pptp info TCP connection established from 175.152.33.45
may/07 05:44:55 pptp info TCP connection established from 60.1.130.170
may/07 05:44:56 pptp info TCP connection established from 61.166.192.193
may/07 06:35:56 pptp info TCP connection established from 18.197.148.122

apr/27 07:36:49 system error critical login failure for user test from 117.247.80.10 via ftp
apr/27 13:13:56 system error critical login failure for user www-data from 178.88.203.61 via ftp
apr/28 08:12:27 system error critical login failure for user anonymous from 14.139.159.99 via ftp

apr/28 09:17:36 system error critical login failure for user anonymous from 51.38.12.13 via ftp
apr/28 11:06:43 system error critical login failure for user user from 117.222.46.220 via ftp
apr/28 15:33:28 system error critical login failure for user ftp from 155.94.65.20 via ftp
apr/28 15:33:29 system error critical login failure for user anyone from 155.94.65.20 via ftp
apr/28 15:33:31 system error critical login failure for user user from 155.94.65.20 via ftp
apr/28 15:33:32 system error critical login failure for user test from 155.94.65.20 via ftp
apr/28 15:33:33 system error critical login failure for user user from 155.94.65.20 via ftp
apr/28 15:33:33 system error critical login failure for user default from 155.94.65.20 via ftp
apr/28 15:33:34 system error critical login failure for user test from 155.94.65.20 via ftp
apr/28 15:33:34 system error critical login failure for user read from 155.94.65.20 via ftp
apr/28 15:33:35 system error critical login failure for user default from 155.94.65.20 via ftp
apr/28 15:33:36 system error critical login failure for user read from 155.94.65.20 via ftp
apr/30 19:22:31 system error critical login failure for user anonymous from 91.121.116.128 via ftp
may/02 08:53:23 system error critical login failure for user www-data from 157.33.116.171 via ftp
may/03 19:41:20 system error critical login failure for user anonymous from 75.80.182.128 via ftp
may/04 03:55:30 system error critical login failure for user anonymous from 125.212.217.214 via ftp
may/04 10:31:35 system error critical login failure for user admin from 122.170.41.119 via ftp
may/05 04:02:20 system error critical login failure for user admin from 172.245.13.10 via web
may/05 04:02:20 system error critical login failure for user admin from 172.245.13.10 via web
may/05 04:02:21 system error critical login failure for user admin from 172.245.13.10 via web
may/05 04:02:22 system error critical login failure for user admin from 172.245.13.10 via web
may/05 04:02:22 system error critical login failure for user admin from 172.245.13.10 via web
may/05 15:29:19 system error critical login failure for user anonymous from 109.64.64.72 via ftp
may/05 18:47:59 system error critical login failure for user admin from 213.183.51.130 via web
may/05 18:47:59 system error critical login failure for user admin from 213.183.51.130 via web
may/05 18:47:59 system error critical login failure for user admin from 213.183.51.130 via web
may/05 18:48:00 system error critical login failure for user admin from 213.183.51.130 via web
may/05 18:48:00 system error critical login failure for user admin from 213.183.51.130 via web

may/06 23:51:20 system error critical login failure for user anonymous from 71.6.167.142 via ftp
may/07 10:00:37 system error critical login failure for user www-data from 157.49.14.240 via ftp

[Dalibor Toman]

DD,

nevim, co chces slyset. Skeny jsou a budou. Pokud ma neco verejnou IP a neni chraneno firewallem, tak se vzdycky najde neco/nekdo, kdo se na to pokusi pripojit. Nic konkretniho se z tech pokusu o prihlaseni, vykoukat neda. Krome toho, ze ty pokusy o prihlaseni jsou neuspesne a jake Ti bezi sluzby. K PPTP nevim, co rict - nepouzivam nevim jak se chova. Pruniky (Chimay-red) se v logu neobjevi = z logu se nedozvis, ze se nekdo proboril dovnitr. Pokud mas ROS ve stare verzi pak zalezi na jeke platforme ten ROS bezi. K X86 a misbe jsou k mani exploity, takze pokud mas neco z toho tak uz jsi mel nezvanou navstevu. U ostatnich architektur je IMHO sance na prunik mensi ale sazet se na to asi nevyplati.
Na MT GW IMO nema co delat zaply www/www-ssl a ani FTP. Pokud je potrebujes, tak jen pro vymezeny rozsah IP - to samozrejme plati i pro ostatni sluzby

[Noxus28]

JJ ako bolo spomenuté pokiaľ je možnosť všetky služby z WAN zakázať a nie len v services / povolené IP ale na tvrdo firewall pravidlom. Prípadne povoliť len z adries o ktorých vieš že to potrebuješ. Hlavne momentálne pozor na winbox

[mpcz]

to DT: dík, třeba toto. Z toho je nejdůležitější poznatek, že průnik není zalogován. Vůbec nijak? A co mi není jasné, je stav, kdy před vypuknutím aféry BYLA verze 6.35, pak jsem dal 6.4x. Dá se spolehlivě určit, jestli byl před upgrade RB nebo X86 napaden/prolomen, jestli upgrade ROSu všechny skryté úpravy "virem" zlikvidoval, popř. jak spolehlivě identifikovat pozůstatky z "viru" v systému po upgrade, popř. jeho stále aktivní části. A je už někomu známo/tuší, co vlastně má "vir" za cíl? Jak řeší upgrade ROS ti, co mají veřejku na RB 532 atd., pro kteréžto RB není pokračování ROS? Je toho hodně, že .. Děkuji, mpcz, 8.may.2018

[Myghael]

RB133, RB532, RB532A a podobné historické kousky ještě v provozu potkávám, ale jako bránu do internetu už to dnes (snad) nikdo nepoužívá. Pokud ano, zřejmě o důvod víc k upgradu, přinejmenším na RB433AH, ne-li rovnou na něco aktuálního. Ti co chtějí prkno s 3+ ethernety a kartou/kartama si můžou koupit RouterBoard M33G, po všech ohledech plnohodnotný routerboard klasické koncepce (holá deska s ethernet porty a sloty na karty).

[mpcz]

A RB600, na který se mi nikdy nepodařilo instalovat/provozovat ROS 6.xx bez problémů? A co RB532 u klienta s věřejkou? Není to to stejné? Dík, mpcz 9.may.2018