Výpadek hkfree

[3com]

Nefigurovala někde IP z rozsahu 95.154.216.0/24 (Třeba i v tom Scriptu) ?

[cerva]

Nebyl na těch infikovaných strojích naimportovaný SSH klíč pro login admina?

[Dr.Easy]

Nebyl na těch infikovaných strojích naimportovaný SSH klíč pro login admina?

To nebyl.

[3com]

Byl změněn login a ten se nijak nepodařilo zjistit ani na místě? Bylo potřeba fyzicky zařízení vyresetovat tlačítkem reset a znova nastavit?

[Dr.Easy]

Byl změněn login a ten se nijak nepodařilo zjistit ani na místě? Bylo potřeba fyzicky zařízení vyresetovat tlačítkem reset a znova nastavit?

Byly disablovany veškerý iface.
Obsazeny, neobsazeny, eth, wlan, sfp...

První script vypinal logovani, a pak za sebou ještě zametl.


Takže null kabel a už se jelo. Tam kde nebyl seriak, tak reset do defaultu.
Netinstall se zachováním konfigurace nepomohl.

Někde kluci snad používali nějaký udelatko na ty levný desky, kde si na ně ten seriak "nacvakli"..

Opruz.

A pak že je rs232 přežitek

[Dr.Easy]

Nefigurovala někde IP z rozsahu 95.154.216.0/24 (Třeba i v tom Scriptu) ?

Tech utocicich IP máme asi 200, tenhle rozsah tam není.

[3com]

Nefigurovala někde IP z rozsahu 95.154.216.0/24 (Třeba i v tom Scriptu) ?

Tech utocicich IP máme asi 200, tenhle rozsah tam není.

Nebo něco z tohodle?

1

Login.jpg (202.89 KiB) Zobrazeno 3639 x

nebo

2

Denied.jpg (175.52 KiB) Zobrazeno 3639 x

[skripek]

Zdravím dneska byl u zákazníka náš technik. Měl napadnutý MK, byl tam script, který posílal nějaké data na ip adresu z rozsahu 95.154.216.0/24. Ve scheduleru byl nastaven interval na 30min, byklo to na veřejné ip adrese, nikde nebyl nastaven FW(nastavoval si to klient) heslo do mk věděl pouze klient, bohužel to smazal, takže sem nemůžu postnout větší info

[Dr.Easy]

Zdravím dneska byl u zákazníka náš technik. Měl napadnutý MK, byl tam script, který posílal nějaké data na ip adresu z rozsahu 95.154.216.0/24. Ve scheduleru byl nastaven interval na 30min, byklo to na veřejné ip adrese, nikde nebyl nastaven FW(nastavoval si to klient) heslo do mk věděl pouze klient, bohužel to smazal, takže sem nemůžu postnout větší info

to bude stale ten exploit

[skripek]

Zdravím dneska byl u zákazníka náš technik. Měl napadnutý MK, byl tam script, který posílal nějaké data na ip adresu z rozsahu 95.154.216.0/24. Ve scheduleru byl nastaven interval na 30min, byklo to na veřejné ip adrese, nikde nebyl nastaven FW(nastavoval si to klient) heslo do mk věděl pouze klient, bohužel to smazal, takže sem nemůžu postnout větší info

to bude stale ten exploit

A přestalo mu to fungovat cca od víkendu

[K3NY]

zkusim se zeptat, ty MT co jsou napadene jsou s verejnou IP? Nebo ma klient svuj rt s verejnou a ten nasledne napada infrastrukturu?

[Dr.Easy]

zkusim se zeptat, ty MT co jsou napadene jsou s verejnou IP? Nebo ma klient svuj rt s verejnou a ten nasledne napada infrastrukturu?

bez veřejek.

[menicks]

A tak šlo jen o zařízení s routeros? Nebo i o jiná zařízení?

[Dr.Easy]

A tak šlo jen o zařízení s routeros? Nebo i o jiná zařízení?

pouze routerOS.

ty scripty vypadaly viz. priloha...

Screenshot_20180825-133833.jpg (118.49 KiB) Zobrazeno 3386 x

Screenshot_20180825-133842.jpg (202.47 KiB) Zobrazeno 3386 x

Screenshot_20180825-133826.jpg (156.12 KiB) Zobrazeno 3386 x

[skripek]

A tak šlo jen o zařízení s routeros? Nebo i o jiná zařízení?

pouze routerOS.

ty scripty vypadaly viz. priloha...

Screenshot_20180825-133833.jpgScreenshot_20180825-133842.jpgScreenshot_20180825-133826.jpg

Jo tak nějak prý vypadaly, a už mi začíná z toho cukat oko