MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[3com]

Kdyby to omezovalo ip nezačlo by se to přes winbox připojovat. Ale tady rovnou winbox hodí hlášku - ERROR: wrong username or password

...

videl jsem na nekterych MT, ze uzivatelum byly definovany site, ze kterych se mohou prihlasit. Takze i kdyz mas heslo, nepripojis se.
Na jedne desce byl jen uzivatel system s povolenym prihlasenim z 23.0.0.0/8...

[Dalibor Toman]

Kdyby to omezovalo ip nezačlo by se to přes winbox připojovat. Ale tady rovnou winbox hodí hlášku - ERROR: wrong username or password

...

videl jsem na nekterych MT, ze uzivatelum byly definovany site, ze kterych se mohou prihlasit. Takze i kdyz mas heslo, nepripojis se.
Na jedne desce byl jen uzivatel system s povolenym prihlasenim z 23.0.0.0/8...

ja mluvil o nastaveni povolenych siti v profilu uzivatele. Nejprve se musi na winbox pripojit a ten pak teprve po zjisteni jmena (a mozna i hesla) rekne, ze uzivatele nechce prave kvuli tomu, ze se nepripojil z povolene site. Jak ta hlaska vypada nevim ale nedivil bych se kdyby byla stejna jako pri spatnem hesle.

[inokent]

RouterOS v6.42.7 na portu 3138 a dnes jsem zjistil že mám "invalid username or password." která ta verze měla být bezpečná ?

[pepulis]

RouterOS v6.42.7 na portu 3138 a dnes jsem zjistil že mám "invalid username or password." která ta verze měla být bezpečná ?

Možná blbá reakce, ale vy čekáte že s nějakou verzi se nebude někdo k vam zkoušet připojit pokud nebudete mít nastavený firewall a v ip service a u users povolene jen privátní adresy?

[honzam]

RouterOS v6.42.7 na portu 3138 a dnes jsem zjistil že mám "invalid username or password." která ta verze měla být bezpečná ?

Spíš bych to tipoval že heslo zůstalo stejné po upgradu. Nebo bude toto heslo společné pro více mikrotiků a z nějakého jiného mikrotiku uniklo...

[ludvik]

Pokračujeme:

https://blog.mikrotik.com/security/secu ... nable.html

[mpcz]

Kdyby to omezovalo ip nezačlo by se to přes winbox připojovat. Ale tady rovnou winbox hodí hlášku - ERROR: wrong username or password

videl jsem na nekterych MT, ze uzivatelum byly definovany site, ze kterych se mohou prihlasit. Takze i kdyz mas heslo, nepripojis se.
Na jedne desce byl jen uzivatel system s povolenym prihlasenim z 23.0.0.0/8...

ja mluvil o nastaveni povolenych siti v profilu uzivatele. Nejprve se musi na winbox pripojit a ten pak teprve po zjisteni jmena (a mozna i hesla) rekne, ze uzivatele nechce prave kvuli tomu, ze se nepripojil z povolene site. Jak ta hlaska vypada nevim ale nedivil bych se kdyby byla stejna jako pri spatnem hesle.

Ano, kolega DT má pravdu, toto mám i ověřeno. V několika verzích, které se podařilo odemknout se to přesně takto chovalo. "Povolená" IP a kombinace U/H byla samozřejmě různá. mpcz, 25.8.2018

[Machca]

Dnes ráno jsem měl přihlášení k verzi 6.42.7 zapomněl jsem změnit jedno heslo uživatele read, přidány nějaké statické DNS záznamy a bravurně se hned přihlásil všemi třemi loginy na první dobrou, takže wft ?
Všechny MK kde byly tyto 2 pravidla

Kód: Vybrat vše

add action=drop chain=forward connection-nat-state=!dstnat connection-state=new in-interface=wan
   
add action=drop chain=input in-interface=wan

bez nákazy.

[Machca]

vim no moje blbost, s tim userem, jo záznam v logu, přistoupeno přes API, jak se mi to jen mohlo stát, dříve jsem přistupoval přes mobil Tikapp.
A nebo je to schválně, abychom používali nejnovější verze ROS

[the.max]

Tak dnes odpoledne pozoruji zvýšenou aktivitu s pokusy o přístup do sítě z IP adres, které tu byly po různu uvedeny v souvislosti s nákazou. Zatím to vypadá tak, že to zkouší skenovat veřejky, resp. že to zkouší se rovnou připojit na vysoké porty a když se nezadaří, tak zkusí následující vyšší port. Všiml si toho také někdo?

[soooc]

Já spíš pozoruju vyšší aktivitu na portu 80 - snaha shodit služby na daném stroji.

[Petr Bačina]

Je fakt, že dneska toho leze nějak víc a zkouší to na standardní porty winboxu. Projíždí a postupně zkouší všechny IPčka co máme. Hezky popořadě.
IP: 185.154.205.0/24, 185.211.68.0/24, 185.211.69.0/24, 185.211.70.0/24, 185.211.74.0/24, 212.225.227.0/24

[Robotvor]

Je fakt, že dneska toho leze nějak víc a zkouší to na standardní porty winboxu. Projíždí a postupně zkouší všechny IPčka co máme. Hezky popořadě.
IP: 185.154.205.0/24, 185.211.68.0/24, 185.211.69.0/24, 185.211.70.0/24, 185.211.74.0/24, 212.225.227.0/24

Řeší něco když se tyto rozsahy bloknou na hraničním routeru na forwardu in interfaces konektivita ?

[Petr Bačina]

Jo tak to nevím. Ale GW máme nastavenou tak, že i když má někdo nastavenou veřejku, tak blokujeme alespoň ty základní věci jako ICMP,20,21,22,23,80,443,2000,8080,8291 atd.. DROP pravidla jednou pořád čítače se plní, všechno schytává naše GW, ale na klienty už nic z toho nejde. Ještě před kauzou "děravý Mikrotik" jsem tímhle řešil "ochranu" pro domácí TPLinky, Netise atd. Jakmile se na ně poslala veřejka, tak se routery během chvíle sesypaly a minimálně WEB rozhraní přestávalo pracovat. Od zavedení těch DROPů je klid a vše jede jak má.

[the.max]

můžeš sem hodit IPčka, ze kterejch to chodí? Já tu aktuálně vidím:

5.101.40.252
122.228.10.50
185.156.177.24
185.169.231.209
198.108.66.60
198.108.66.61

Celou dobu to chodí z té první adresy a k tomu chvíli ještě nějaká další, ale jen pár minut, pak jde zase jiná. Ale ta první je tam pořád.

Já tu ve vláknech nasbíral pár IPček ze screenshotů a bloknul jsem celej /24 v inputu a forwardu s tím, že si to loguju.