Pokusy o přihlášení na Mikrotiky

[mpcz]

Co to je: "nepoužívají WAN". Mají veřejnou adresu? Jsou připojené do internetu? mpcz, 20.5.2018

[Invia]

Postižená zařízení WAN nepoužívají, nicméně je zajímavé, že na torch se neukazuje pro jistotu nic což je celkem zajímavé. Torch si nechávám vypsat na nácestném zařízení přes které jdou data z zařízení na které se připojuji. Takže provoz by tam měl být pokud jsem připojena, ale není.
Nyní by jsme potřebovali radu jestli neděláme něco blbě. Zařízení s 6.39 a nižší šla netinstalem v verzi 6.42.2 v pohodě, ale zařízení s 6.40.xx a vyšší netinstal bud nevidí (6.42.2) nebo se mu nechce je nainstalit 6.40.1 . Antivir je vypnutý, IP adresy správně 192.168.88.2 na netinstalu, 192.168.88.10 na NB. Instalace u 6.40.1 probíhá jako, že ano, ale po cca 5 sec vypíše v horním okně, že je ready. Takže routr vyresetován do defaultu a pokus o ethboot přes netinstal znovu a znovu to samé. Routr s 6.42.2 to prostě nevidí. Vzniklo to tak, že bohužel došlo k upgrade na zavirovaný stroj. Jenže co tam je za verzi by snad mělo být netinstalu jedno nebo nikoliv?

Jaký je na nb windows? Měl jsem stejný problém na win10 a musel sem použit windows 7.

[Filipová Ludmila]

WAN u mne myšleno označení portu u koncového uživatele přes který je připojení do internetu. Postižené jsme měli zatím routry pracující s běžným routingem. Veřejné IP byli i nebyli.

Win 7 home edition. Je ale zvláštní, že dva stroje šli nakonfit a dva ne.

[iTomB]

Me by spis zajimalo, jak se to da detekovat na tom PC, co je udajne zavirovane. Seznam poskozenych (zavirovanych knihoven atd. ).

Takhle bude pokus o odvirovani zmaren.

[mpcz]

WAN u mne myšleno označení portu u koncového uživatele přes který je připojení do internetu. Postižené jsme měli zatím routry pracující s běžným routingem. Veřejné IP byli i nebyli.

Přiznám se, že kolegyňka F. L. má pro mě dost těžký sloh, kombinovaný s mou neznalostí.
Byla tady řeč o stroji, u kterého bylo podezření na infekci. Ptám se na projev torchu na jeho adaptéru, otočeném do internetu s veřejnou IP. Je tam vidět scanování na portu 8291? Co to je "běžný routing"? Ta odpověď se vždy rozjede dost do široka, což je pro ty méně chápavé jako já těžko pochopitelné. Nejde mi do hlavy, že by stroj BYL zavirovaný "naším" virem a nic nescanoval.
to iTomB: do doby, než to někdo smysluplně vyvrátí, (nebo nevymyslí něco lepšího), považuji torch na WANu/port 8291 (atd.) za dostatečný indikátor zavirování. Stejně čekám, kdy začne scanovat i do LAN.
Takže děkuji, mpcz, 20.5.2018

[mrazek609]

Měl jsem na síti několik napadených MK, ale na všech je v torch port 8291 i ostatní normálně vidět. Jediné co pozoruji od té doby je až 100% nárůst pokusů o přihlášení do těchto Mikrotiků.

Nepomáhá žádná změna portů, ani blokace pro konkrétní rozsahy v IP services není úplně jisté. Zatím funguje jen mít dobře postavený firewall a blokovat všechny známé přístupy hned na inputu. Pro zajímavost si loguji pokusy o přístupy a již týden frčí tato IP 95.47.253.187 na všechny mikrotiky co byly dříve napadeny.

[mpcz]

Měl jsem na síti několik napadených MK, ale na všech je v torch port 8291 i ostatní normálně vidět. Jediné co pozoruji od té doby je až 100% nárůst pokusů o přihlášení do těchto Mikrotiků.
Nepomáhá žádná změna portů, ani blokace pro konkrétní rozsahy v IP services není úplně jisté. Zatím funguje jen mít dobře postavený firewall a blokovat všechny známé přístupy hned na inputu. Pro zajímavost si loguji pokusy o přístupy a již týden frčí tato IP 95.47.253.187 na všechny mikrotiky co byly dříve napadeny.

Dík, no pan kolega Hapi má asi pravdu, že jsem dost natvrdlý. Může mi tedy prosím někdo přeložit do CZ, včetně technického komentáře: "mám napadené Mikrotiky a na všech je torch port 8291 normálně vidět"? Děkuji, mpcz, 20.5.2018

[iTomB]

to iTomB: do doby, než to někdo smysluplně vyvrátí, (nebo nevymyslí něco lepšího), považuji torch na WANu/port 8291 (atd.) za dostatečný indikátor zavirování. Stejně čekám, kdy začne scanovat i do LAN.
Takže děkuji, mpcz, 20.5.2018

Obcas premyslim, zda predtim nez neco napises pouzivas hlavu. Ja psal o zavirovanem PC, jak na nem provedu torch?

[mpcz]

to iTomB: do doby, než to někdo smysluplně vyvrátí, (nebo nevymyslí něco lepšího), považuji torch na WANu/port 8291 (atd.) za dostatečný indikátor zavirování. Stejně čekám, kdy začne scanovat i do LAN.
Takže děkuji, mpcz, 20.5.2018

Obcas premyslim, zda predtim nez neco napises pouzivas hlavu. Ja psal o zavirovanem PC, jak na nem provedu torch?

Já vím, že je to se mnou těžké, omlouvám se, ale snažím se. Mám několik PC, kde pustím torch docela jednoduše. Pokud tam běží něco jiného, třeba Windows, asi je to na report Esetu. mpcz, 20.5.2018

[mrazek609]

mpcz: Tak pokud chápu dobře já. V diskuzi píše (paní LF), že v nástroji torch není po napadení mikrotiku vidět přístup na WINBOX port 8291. Já za sebe říkám, že ta komunikace tam v mém případě je vidět kompletně.

[mpcz]

mpcz: Tak pokud chápu dobře já. V diskuzi píše (paní LF), že v nástroji torch není po napadení mikrotiku vidět přístup na WINBOX port 8291. Já za sebe říkám, že ta komunikace tam v mém případě je vidět kompletně.

Dík, fuj, tak to jsem si oddechl, že jsem to zase nepopletl. Takže u mě zůstává v platnosti dosavadní teorie o tom, že stroj, který nevykazuje delší dobu scany na WANu, nebude pravděpodobně zavirovaný virem XY (nebo už to má Jméno?). Ještě dotaz: co to je "kompletně"? Děkuji. mpcz, 20.5.2018

[iTomB]

mpcz: Tak pokud chápu dobře já. V diskuzi píše (paní LF), že v nástroji torch není po napadení mikrotiku vidět přístup na WINBOX port 8291. Já za sebe říkám, že ta komunikace tam v mém případě je vidět kompletně.

Mozna by se to mohlo maskovat pod bridge a FP.

[mpcz]

To není špatná myšlenka, takže znovu prosím o překlad:
L. F.: "Torch si nechávám vypsat na nácestném zařízení přes které jdou data z zařízení na které se připojuji."
Děkuji, mpcz, 20.5.2018

[mrazek609]

Po napadení MK jsem měl strach, protože se mi komunikace v torch zdála nižší než obvykle. Proto jsem zkoušel napadenému mikrotiku předřadit úplně nový mikrotik a sledovat komunikace. Všechny komunikace v torch byly transparentní, logoval jsem i v bridge filters porty 22,23,80,8291 a všechny pokusy o přihlášení tam jsou zaznamenané. Z toho důvodu si nemyslím, že "virus" maskuje nějaké komunikace.

[mpcz]

Tak to jsem rád, že jsem to pochopil správně. Takže to vypadá ZATÍM tak, že alespoň dočasný/náhradní indikátor funguje.
Ještě k tomu torchu, zdá se mi, že funguje nějak divně, třeba roletka port 8291, winbox volba a 2. winbox volba (?), dává různé výsledky, navíc se to po chvíli zasekne a dost často se zasekne celý Winbox 3.13/Win10. Toho jsem si dříve nevšiml. mpcz, 20.5.2018