MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[Machca]

Já to mam bloklý v RAWu a loguju ten port, sem tam někdo to zkusí

[ludvik]

Víš, keksíku ... ne každý mikrotik má jednoznačně definovaný WAN. Ne každý mikrotik si lze odříznout z internetu. Proto nás zajímají i bugy jako takové, ne jenom obrana (která je v tomto případě prostě nemožná, neboť problém může nastat i z LAN strany, nebo po MAC-serveru).

[andrejtom]

Tak sa pridavam do zoznamu, mam 3ks MK napadnutych kde je najnovsi SW 6.43.
Su tam zmenene Login ktore niesu nikde inde a niesu ani ulozene v pocitaci.
PS: Mam len pocitace s OSX cez ktore som sa prihlasoval, a pri aktualizacii uz tam bolo nastavene pravidlo ktore blokuje winbox port cez WAN a bol aj zmeneny port.

[mpcz]

Tak sa pridavam do zoznamu, mam 3ks MK napadnutych kde je najnovsi SW 6.43.
Su tam zmenene Login ktore niesu nikde inde a niesu ani ulozene v pocitaci.
PS: Mam len pocitace s OSX cez ktore som sa prihlasoval, a pri aktualizacii uz tam bolo nastavene pravidlo ktore blokuje winbox port cez WAN a bol aj zmeneny port.

Jakou měly veřejnou IP? "Podobnou"? Bylo to napadené v jeden den? Nemají ty napadené stroje na své LAN straně nějaké další stroje s veřejnou IP? Dík, mpcz, 14.9.2018

[andrejtom]

Jeden mal verejnu IP a ostatne su zanim ako AP, napadnute boli asi v rovnaky cas alebo priblizne lebo este den pred zistenim sa kontroloval kazdy.
Jeden bol ako hlavny (RB1100) s verejnou IP a ostatne (cAP AC) ako AP. Pripojene su len Notebooky, Telefony a iMac.

[Beny44]

Hmm, tak teda nevim, ale i přes zakázání všech služeb kromě winboxu z vnitřní sítě jsem dnes dostal upozornění od svého ISP a z Národní CSIRT tým ČR, že jsem napadl ze své veřejné IP jakousi síť přes UDP port 80. Ok zavřu to ven, ale rád bych našel ten script nebo co to vlastně může způsobovat. Koukal jsem do scriptů a to je prázdné, ve files taky nic navíc není. Může mně někdo nasměrovat, kde bych to mohl najít?
Díky

[Machca]

pust si ve winboxu terminal a dej print vyjede ti celá konfigurace tam najdeš nesrovnalosti

[ludvik]

Na některou ze stanic.

... Může mně někdo nasměrovat, kde bych to mohl najít?

[Beny44]

Na některou ze stanic.

... Může mně někdo nasměrovat, kde bych to mohl najít?

)

[hapi3]

Tak sa pridavam do zoznamu, mam 3ks MK napadnutych kde je najnovsi SW 6.43.
Su tam zmenene Login ktore niesu nikde inde a niesu ani ulozene v pocitaci.
PS: Mam len pocitace s OSX cez ktore som sa prihlasoval, a pri aktualizacii uz tam bolo nastavene pravidlo ktore blokuje winbox port cez WAN a bol aj zmeneny port.

A kdy si je updatoval na tu verzi? A co si tam mel předtím za verzi.

[andrejtom]

Aktualizovane to bolo hned ako to vyslo, bol tam skript na automaticku aktualizaciu.

[mpcz]

Spouštím to takto:

Kód: Vybrat vše

MACServerExploit E4:8D:8C:17:14:69

Chyba:

Kód: Vybrat vše

Exception in thread Thread-1:
Traceback (most recent call last) :
File "c:\cestaKpythonu\lib\threading.py", line 916, in _bootstrap_inner self run()
File "c:\cestaKpythonu\lib\threading.py", line 864, in run self._target(*self._args, **self._kwargs)
File "c:\MACServerExploit.py", line 62, in __recv_manager__data, _ = self.sock.recvfrom(1024*64)
OSError: [WinError 10022] Byl zadán neplatný argument

https://stackoverflow.com/questions/358 ... t-supplied

Na windows zrejme musis mit opravneni administratora a by skript probehl. Pripadne by se asi musel modifikovat skript pridanim radku
self.sock.bind('',nejake cislo portu treba 5678) nekam pred ten recvfrom(), aby se socket bindnul na nejaky konkretni port na lokalni strane.

Zdravím, vyřešil se ten problém MACServerExploit-u nějak? To řešení s oprávněním adm. se mi moc nepozdává, ale možná něco dělám blbě a nebo jsem to (jako obvykle) nepochopil. Dík. mpcz, 15.9.2018

[Machca]

Ahoj když si dáte heslo který bude obsahovat č anebo jiný specificky český znak, tak ať si použijou winbox exploit stejně se nepřihlásí nikdo, neb jim to vybleje nějakej paskvil znak, teď to tu testuju na verzi 6.40.5, testovací router

[ppp76]

Maly poznatek nevim jestli tu uz probehl ale pokdu je router napadeny tak mi vzdy ukazuje verzi 6.42.7 ty smejdi si ho upgradnuli na tuhle verzi sami

[mpcz]

Maly poznatek nevim jestli tu uz probehl ale pokdu je router napadeny tak mi vzdy ukazuje verzi 6.42.7 ty smejdi si ho upgradnuli na tuhle verzi sami

Ano, už to tu někdo psal. Ten potřebný restart pro upgrade udělali sami, nebo až ty při odpojení od napájení? Důvod upgrade je prostý: nechtějí, aby se někdo hrabal v jejich skriptech atd., tak nahrají verzi, kterou zatím umí odemknout míň lidí. Na druhou stránku - tím na sebe ovšem předčasně upozorní. mpcz, 15.9.2018