Zdravím nevíte někdo co bylo příčinou zda jejich chyba nebo ňáká díra v MIKROTIKU ?
https://www.facebook.com/hkfree/posts/10158035069043508
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Výpadek hkfree
-
thouzvicka
- Příspěvky: 24
- Registrován: 7 years ago
Mě by zajímalo, jak se ten script do těch routerů dostal. Kdyby to někdo věděl, tak prosím SZ nebo tady veřejně.
Nechci riskovat napadení naší sítě.
Nechci riskovat napadení naší sítě.
0 x
Pokud zatím platí:
a) napadené routery (resp. tedy vlastně switche) neměly IP konektivitu a měly i změněné porty api/ssh/winbox
b) některé měly hesla tzv. brutální a nikde neevidované
c) nákaza neprošla čistými linux routery.
tak:
1. možná byla objevena chyba v mac-serveru (nebo v RoMON, to nevím).
2. šlo o útok zhrzeného člena, co znal podmínku b)
3. kombinace obého ...
Přijde mi divné, že by "to" přišlo odněkud z internetu či zevnitř po IP (čili malware umí nakazit něco přes routovanou síť) a na prvním zařízení to změnilo chování a dokázalo nakazit jen věci bez IP adresy.
Divné také je, že pokud už někdo vymyslí malware, který zařízení vyřadí z provozu (a zamete po sobě stopy), proč to dělá tak složitě a disabluje rozhraní, místo toho aby prostě vymazal konfiguraci do defaultu.
Já si tipnu důvod 2.
Ale je to jen spekulace založená na několika střípcích informací.
V každém případě se hodí mít logy i jinde, než na zařízení samotném.
a) napadené routery (resp. tedy vlastně switche) neměly IP konektivitu a měly i změněné porty api/ssh/winbox
b) některé měly hesla tzv. brutální a nikde neevidované
c) nákaza neprošla čistými linux routery.
tak:
1. možná byla objevena chyba v mac-serveru (nebo v RoMON, to nevím).
2. šlo o útok zhrzeného člena, co znal podmínku b)
3. kombinace obého ...
Přijde mi divné, že by "to" přišlo odněkud z internetu či zevnitř po IP (čili malware umí nakazit něco přes routovanou síť) a na prvním zařízení to změnilo chování a dokázalo nakazit jen věci bez IP adresy.
Divné také je, že pokud už někdo vymyslí malware, který zařízení vyřadí z provozu (a zamete po sobě stopy), proč to dělá tak složitě a disabluje rozhraní, místo toho aby prostě vymazal konfiguraci do defaultu.
Já si tipnu důvod 2.
Ale je to jen spekulace založená na několika střípcích informací.
V každém případě se hodí mít logy i jinde, než na zařízení samotném.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
stalo se nám něco podobného, stačí jediný ROS uvniř, který nemá aktualizovanou verzi.. naštěstí jsme na to přišli hned a kluky z .RU odstřihli, ale i tak lehlo cca 80 mikrotiků, zachránilo nás jen to, ze to ten borec dělal ručně.
0 x
-
thanui.linux
- Příspěvky: 278
- Registrován: 13 years ago
Viděl jsem klienta HKFree s veřejkou. Ani náznak firewallu. A zastaralá verze ROS. To asi spíš byla otázka času.
0 x
-----------------------------------------------------------
RBcka i UBNT mají své přednosti - využívám obojí
RBcka i UBNT mají své přednosti - využívám obojí
Tak víš co, naklikáš maškarádu a ono to funguje...
0 x
Si vis pacem, para bellum.
MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.
MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.
-
kadlcikales
- Příspěvky: 164
- Registrován: 9 years ago
- Bydliště: Zlín , Otrokovice , Kroměříž
- Kontaktovat uživatele:
No já si stejně myslím že spíše někomu ruplo v bedně a poslal scrypt a bylo, zajímá mě to a pokud o tom někdo může napsat víc (jestli se náhodou nejedná o další nějaké bez. chyby) tak tak prosím také SZ ať si mohu taky zabezpečit MK
0 x
Je to člen spolku, je to jeho zařízení, jeho starost. V tomto případě bohužel.
Větší sranda je, když to člověk vidí u klienta středně velkého komerčního ISP.
Větší sranda je, když to člověk vidí u klienta středně velkého komerčního ISP.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Moc se nemyslí na mac-server ... jenže bez něj je to tak nějak u mikrotiku otrava. Zrovna na něj by se hodilo použít port-knocking. Jenže u mikrotiků nechtějí slyšet na to ho zabudovat do Winboxu.
kadlcikales píše:... ať si mohu taky zabezpečit MK
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
kadlcikales
- Příspěvky: 164
- Registrován: 9 years ago
- Bydliště: Zlín , Otrokovice , Kroměříž
- Kontaktovat uživatele:
ludvik píše:Moc se nemyslí na mac-server ... jenže bez něj je to tak nějak u mikrotiku otrava. Zrovna na něj by se hodilo použít port-knocking. Jenže u mikrotiků nechtějí slyšet na to ho zabudovat do Winboxu.kadlcikales píše:... ať si mohu taky zabezpečit MK
je taky blbost si tunelovat L2 všude (on ten mikrotik Neighbor discovery ani pomalu jinak neumí viz default konfigurace kde je to dynamicky) , bylo by lepší alespoň Neighbor discovery vypínat na nepotřebných rozhraních třeba /ip neighbor discovery set ether1 discover=no (nejsem si jistý jestli ještě funguje)
Naposledy upravil(a) kadlcikales dne 26 Aug 2018 21:05, celkem upraveno 1 x.
0 x
Na tom facebooku píšou o stovkách zařízení, jak se jim to tam teda dostalo když měli poslední verzi kde by mělo být již vše vyřešeno ?
0 x
Vyřešení po nalezení problému chvilku trvá. Např. https://www.tenable.com/security/research/tra-2018-21 Pravděpodobnost neopravené chyby je vždy vyšší, než nula.
Ale fakt si myslím, že to byl ruční zásah "někoho".
Ale fakt si myslím, že to byl ruční zásah "někoho".
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
Ahoj,...
Hesla
-mysleli jsme že to jsou hesla, která se mohou v siti objevovat častěji a je možné je lépe uhádnout, pak jsme zjišťovali, zda nedošlo k vynesení dat z DB a když jsme našli napadene mikrotiky které měly heslo ve smyslu :"5865=+lo#gi?n!!" a nebyly nikde evidovány....
Tak nám došlo, že takhle to asi nebylo...
Navíc Po posledním exploitu jsme na všech 7000 zařízeních hromadné měnili hesla, podle nových parametru, aby se nikde v síti hesla neobjevila vícekrát.
90% routeru měla nejnovější RouterOS a byla napadnuta.
V scheduleru jsme našli dva triviální Scripty. Kde se tam vzaly, nevíme. Jak se rozšířili na tisíce zařízení, nevíme...Po posledním exploitu jsme scheduler a scripts kontrolovali, aktualizoval firmware a routeros na nejnovější verze.
Nikde na pateri nebyla starší verze jak měsíc. Většina měla aktuální...
Někde byl ten srac víc aktivní a znemožnil upgrade routeros na vyšší verzi. Přišli jsme na to, jak to obejít, ale je to 30min. Oser.
Hesla
-mysleli jsme že to jsou hesla, která se mohou v siti objevovat častěji a je možné je lépe uhádnout, pak jsme zjišťovali, zda nedošlo k vynesení dat z DB a když jsme našli napadene mikrotiky které měly heslo ve smyslu :"5865=+lo#gi?n!!" a nebyly nikde evidovány....
Tak nám došlo, že takhle to asi nebylo...
Navíc Po posledním exploitu jsme na všech 7000 zařízeních hromadné měnili hesla, podle nových parametru, aby se nikde v síti hesla neobjevila vícekrát.
90% routeru měla nejnovější RouterOS a byla napadnuta.
V scheduleru jsme našli dva triviální Scripty. Kde se tam vzaly, nevíme. Jak se rozšířili na tisíce zařízení, nevíme...Po posledním exploitu jsme scheduler a scripts kontrolovali, aktualizoval firmware a routeros na nejnovější verze.
Nikde na pateri nebyla starší verze jak měsíc. Většina měla aktuální...
Někde byl ten srac víc aktivní a znemožnil upgrade routeros na vyšší verzi. Přišli jsme na to, jak to obejít, ale je to 30min. Oser.
0 x
UBNT? Maximálně pro klienty...