MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[frodobagin]

Zdarec.
Tak jsem si všiml, že má veřejná IP u jednoho napadeného tiku je na 16ti blacklistech, které ověřuje služba whatismyip. Zřejmě z napadeného tiku chodil spam na všechny strany. Jaký je nejlepší postup pro odstranění záznamů z těchto blacklistů. Problém napadeného tiku jsem snad vyřešil.
Díky.

[Mohy]

Zdravím,
přidám nějaké poznatky do mlýna, určitě se může někomu hodit - testoval jsem WinboxExploit a na základě analýzy komunikace mezi serverem a napadeným mikrotikem jsem vytvožil následující FW pravidlo, které útok spolehlivě překazí. Mám ho preventivně cca 14 dní na několika routerech a dropy vesele přibývají. Na tomto principu si můžete udělat src a dst address list a uvidíte odkud a na co vám ten bordel leze.

Kód: Vybrat vše

/ip firewall filter
add action=drop chain=forward comment=WinboxExploit-drop content=\
   /flash/rw/store/user.dat dst-port=8291 protocol=tcp


Seznam IP, které zranitelnosti využívají se zatím ustálil na 7ks:
198.100.28.129
185.53.91.23
178.128.26.75
95.170.220.162
93.174.93.173
91.183.33.194
80.50.125.170

Upgradujte na nové verze mám spolehlivě odskoušené 6.42.6 a 6.42.7, které tomuto útoku odolávají.

Ještě jedna zajímavost, zkoušel jsem útok proti verzi 6.28 architektura mipsbe a exploit vyčetl i hesla která již byla dávno změněna. Výpis obsahoval 3x účet admin a hesla, která v zařízení opravdu v minulosti byla, ale pro přihlášení už nejsou platná.

[jahoo]

Zdravím,
tak už jsem taky asi obětí... dnes na mě čekalo první den v práci po dovolené fajn překvapení... na jednom MK nefunguje přístup... Před dovolenou jsem upgradoval na 6.42.7 a změnil port winboxu (8 dní zpět). Po návratu je winbox zpět na standardním portu, uptime MK je 3 dny a nejde se do něho dostat.

Nemáte někdo postup, jak se do MK dostat, aniž bych ho musel dávat do továru? (NetInstall, console) ? Jde o CCR-1009.

Díky za rady

[hocimin1]

ted spis takova otazka, zdali neni lepsi nechat starou verzi a zmenit porty. Nebo nahrat novejsi, udajne osetrenou, ale napriklad s backdoor pres ktere se tam muze dostat nekdo jinak a lepe, protoze si to tak v MK pripravili

[Mohy]

ted spis takova otazka, zdali neni lepsi nechat starou verzi a zmenit porty. Nebo nahrat novejsi, udajne osetrenou, ale napriklad s backdoor pres ktere se tam muze dostat nekdo jinak a lepe, protoze si to tak v MK pripravili

Řekl bych, že je lepší použít novější verze a ošetřit si každý MK s vIP pravidly FW na input a definovat si odkud bude přístupná jeho správa. Nesetkal jsem se s tím, že by pak byl takový MK úspěšně napadený i když jede na děravé verzi. Udělej si na nějakém hlavním routeru src adress-list do kterého si budeš házet vnitřní IP, které komunikují na portu 8291 směrem do internetu a budeš mít seznam zařízení, které jsou potencionálně napadnutelná a zabezpeč si je. Doporučuji zkontrolovat konfiguraci u těchto zařízení /system export compact file=neco.rsc a přečti si jí, pokud tam bude něco divného praští tě to do očí.

Setkal jsem se i s odemčeným devel modem, zjistíš to tak, že se zkusíš připojit telnetem a přihlásíš se jako uživatel devel s heslem admina. Pokud, najdeš ve files podobný soubor jako jb_18323_25460.backup, tak je to jasné, ale hacker po sobě může i uklidit.

Napadené mikrotiky se málokdy projevují destruktivně, protože cílem hackera je co nejdéle zařízení využívat. Pokud ho zabezpečí, tak né proti adminům sítě, ale proti ostatním záškodníkům, aby nepřišli o svojí konfiguraci. Pokud máte do zařízení vytvořen ještě jiný login s full právy než admin, tak se mi ještě nestalo, že by ho někdo upravil nebo smazal, takže jsem se tam vždy dostal. Provozoval jsem nějakou dobu 2 návnady, abych zjistil čeho jsou schopni a je to v podstatě dokola to tamé co již bylo na tomto foru zmíněno.

[mpcz]

Zdravím,
tak už jsem taky asi obětí... dnes na mě čekalo první den v práci po dovolené fajn překvapení... na jednom MK nefunguje přístup... Před dovolenou jsem upgradoval na 6.42.7 a změnil port winboxu (8 dní zpět). Po návratu je winbox zpět na standardním portu, uptime MK je 3 dny a nejde se do něho dostat.

Nemáte někdo postup, jak se do MK dostat, aniž bych ho musel dávat do továru? (NetInstall, console) ? Jde o CCR-1009.

Díky za rady

Ok, a stav ostatních IP services před a po? mpcz, 6.sep.2018

[BSDaemon]

ted spis takova otazka, zdali neni lepsi nechat starou verzi a zmenit porty. Nebo nahrat novejsi, udajne osetrenou, ale napriklad s backdoor pres ktere se tam muze dostat nekdo jinak a lepe, protoze si to tak v MK pripravili

Řekl bych, že je lepší použít novější verze a ošetřit si každý MK s vIP pravidly FW na input a definovat si odkud bude přístupná jeho správa. Nesetkal jsem se s tím, že by pak byl takový MK úspěšně napadený i když jede na děravé verzi.

Neměl jsem zatím čas provádět laboratorní výzkum odolnosti jednotlivých verzí, ale za současné situace nelze považovat winbox na jakékoliv verzi za nezranitelný a je naprostý nesmysl, mít ho vystrčený volně ven. Posunout winbox na jiný port je řešení stylem "security by obscurity" a nelze ho považovat za seriózní.

Již delší dobu používám ochranu pomocí firewallu (nyní, po reinstalaci, už i na tom domácím RB, hacknutém z kraje týdne) a ani na prokazatelně zranitelných verzích zatím nepozoruji náznaky napadení.

Kód: Vybrat vše

/ip firewall filter
add action=accept chain=input dst-port=22,8291 in-interface-list=wan_ports protocol=tcp src-address-list=admin_addr
add action=reject chain=input in-interface-list=wan_ports log=yes log-prefix="REJECT=>" reject-with=icmp-admin-prohibited


(Mám ve zvyku rejectovat místo dropování. Zatím z toho žádný DoS nebyl.)

[hocimin1]

tak dnes mi volal jeden kolega ze se nemuze dostat na jeden MK verze 6.39.2 na verejce. A toto bylo ve firewallu

Kód: Vybrat vše

 0    ;;; I closed the vulnerability by the rules of the firewall. Details https://forum.mikrotik.com/viewtopic.phpt=1335
3
3
      chain=input action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h packet-size=1083

 1 X  ;;; Please update RouterOS and change password.
      chain=input action=accept src-address-list=allow-ip

 2 X  ;;; You can say thanks on the WebMoney Z399578297824
      chain=input action=drop protocol=udp dst-port=53

 3 X  ;;; or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1
      chain=input action=drop protocol=tcp dst-port=53,8728,8729,21,22,23,80,443,8291

 4 X  ;;; My Telegram @lexx_mt
      chain=input action=passthrough

 5 X  chain=input action=add-src-to-address-list connection-limit=100,32 protocol=tcp psd=21,3s,3,1
      address-list=blacklist address-list-timeout=10m log=no log-prefix=""

 6 X  chain=input action=drop src-address-list=blacklist log=no log-prefix=""

 7 X  chain=forward action=drop src-address-list=blacklist log=no log-prefix=""

 8 X  chain=input action=passthrough


a adres list

Kód: Vybrat vše

/ip firewall address-list
add address=172.18.2.0/24 list=allow-ip
add address=192.168.10.0/24 list=allow-ip
add address=192.168.10.202 list=allow-ip
add address=192.168.10.204 list=allow-ip
add address=192.168.10.208 list=allow-ip


[ludvik]

Ještě lze použít jako ochranu (pokud možno jako ne jedinou) toto:

Kód: Vybrat vše

add action=drop chain=sshchain comment="prevent brute force attack" src-address-list=sys_ssh_blacklist
add action=accept chain=sshchain src-address-list=nejaky_whitelist
add action=add-src-to-address-list address-list=sys_ssh_blacklist address-list-timeout=3d chain=sshchain connection-state=new src-address-list=sys_ssh_stage3
add action=add-src-to-address-list address-list=sys_ssh_stage3 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage2
add action=add-src-to-address-list address-list=sys_ssh_stage2 address-list-timeout=1m chain=sshchain connection-state=new src-address-list=sys_ssh_stage1
add action=add-src-to-address-list address-list=sys_ssh_stage1 address-list-timeout=1m chain=sshchain connection-state=new
add action=accept chain=sshchain


A sem poslat každou novou konexi, kterou chceme trochu chránit - winbox, ssh, atp.

[BSDaemon]

tak dnes mi volal jeden kolega ze se nemuze dostat na jeden MK verze 6.39.2 na verejce. A toto bylo ve firewallu

Jak se dozvěděl co je ve firewallu, když se na MK nemohl dostat?

[hocimin1]

Dostal pres mac-telnet ten fungoval. Diky bohu

[hocimin1]

tak mam dalsi na verejce 6.42.7 . A nemohu se tma lognout nijak

[philirom]

tak mam dalsi na verejce 6.42.7 . A nemohu se tma lognout nijak

přidávám se do klubu

[3com]

Tak co se týče tohoto problému jsem zde psal před nějakým týdnem co nás postihlo.. od té doby jsem zde nic nepsal... Napadeno u nás bylo několik stovek zařízení na veřejných IP díky podcenění firewallu.... Zachránit se podařila většina. cca 80ks ne... byly už po změně hesla pro login. Dnes se nám podařilo najít cestu pomocí nástroje WinboxExploit jak ze všech napadených strojů změněné heslo vyčíst a na všechny se podařilo připojit a všechny ''virove'' scripty odstranit + upgrade ROS. Každý zavirovaný stroj měl změněno heslo na úplně jiné ani jedno nebylo stejné... Očividně podle nějakého generátoru. 16 místné heslo s kombinací velkých a malých písmen + čísla.
Změny v napadených strojích jsou:
1: DNS přídano za naše ve tvaru 8.8.8.8 a 1.1.1.1:

DNS

dns.jpg (42.52 KiB) Zobrazeno 4366 x

2: Files
Umístěn soubor mikrotik.php s nulovou kapacitou a nic v něm není očividně sloužil jako první zkouška viru jestli lze na daný stroj po zjištění loginu něco zapisovat.
3. System-Scripts

Script

script.jpg (37.13 KiB) Zobrazeno 4366 x

4. Scheduler

Scheduler

Scheduler.jpg (91.07 KiB) Zobrazeno 4366 x

[Peyrak]

měl jsi tam víc userů? mac-telnet mi na jednom stroji taky běží, měl jsem tam 3 usery, ale všem asi změnil heslo, přes žádného se tam nelognu