MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[skripek]

pavel1tu: to je obecná poučka jak zabezpečit zařízení z internetu. Zařízení píši záměrně protože to neplatí pouze pro mikrotik.
skripek: pokud někdo opravdu zná způsob ja zjistit heslo a je solidní, tak se stejně neozve. Vyřeší vše v tichosti s výrobcem. To je běžná praxe.

V tom případě pokud to někdo tady na fóru ví tak může aspoň napsat:"Dostal jsem se MK i přes nejnovější update, už to řeším s výrobcem" , protože v tomto vlákně jsem se už ztratil jak Karkulka v lese....

[honzam]

Koukněte jestli tam nemáte svoje IPčka? Jsou to mikrotiky které těží kryptoměnu:
https://censys.io/ipv4?q=((%22CoinHive.Anonymous%22)%20AND%20(MikroTik)%20AND%20(country%20%3D%20%22CZ%22))

[nofu]

Zdravím,
teď se mi taky dostal jeden asi napadenej tik do ruky. Vše nasvědčuje tomu, že v něm byl, možná ještě je ROS 5.26 => jasný, chyba. Po pročtení celého vlákna a odkazů na githubu nechápu, jak se do něj dostali. Pokud jsem pochopil správně, tak WinBoxExploit funguje od verze 6.29 do 6.42 a Chimay-Red podle PDF od CIA od 6.x do 6.38.4. Navíc si nejsem jist, zda nemusí být zapnutý WebFig (byl a je vypnutý). Heslo bylo jedinečné, tipuji tedy brutal force. Bohužel jsem spíš uživatelská lama, takže se můžu mejlit či nemusím chápat všechny souvislosti, prosím, opravte mě.

Problém je, že bych z něj celkem nutně potřeboval dostat routovací tabulku (či jak se tomu odborně říká). Napadá někoho nějakej způsob, jak jí získat? Bylo by třeba možné ten router resetnout tlačítkem, s tím, že on uloží konfiguraci před resetem do backupu a ten pak dekódovat? Není nějaká zranitelnost pro takto staré ROS, kterou jsem přehlédnul? Nenapadá vás nějaké elegantnější řešení?

EDIT: tak po průzkumi se jeví varianta resetu a dekódování backupu jako neprůchozí, také potřebuje heslo

[honzam]

po průzkumi se jeví varianta resetu a dekódování backupu jako neprůchozí, také potřebuje heslo

https://www.mikrotikpasswordrecovery.net/

[mpcz]

to Nofu: Co to je za stroj? CPU? FLASHka? Pokud vyčerpáš všechny pokusy bez výsledku a bude ti to stát za to, pošli mi to, zkusím ti pomoci. Na BF moc nevěřím. mpcz, 1.okt.2018

[nofu]

https://www.mikrotikpasswordrecovery.net/

Na to jsem koukal, ale pokud to dobře chápu, pak je to pro tiky s firmware 6.13+, tenhle má nejspíš 5.26, nejsem si ale jist.

to Nofu: Co to je za stroj? CPU? FLASHka? Pokud vyčerpáš všechny pokusy bez výsledku a bude ti to stát za to, pošli mi to, zkusím ti pomoci. Na BF moc nevěřím. mpcz, 1.okt.2018

Je to prosté RB951G-2HnD. V noci jsem zkoušel obě známé zranitelnosti, bez úspěchu. WinBoxExploit vrací IP adresu a Chimay-Red je podle mě bez šance, když je vypnutý WebFig. Odkud jsi?

btw. dá se nějak zjistit, taká je v tom teď verze ROS?

[mpcz]

to Nofu: Pokud vyčerpáš všechny pokusy bez výsledku a bude ti to stát za to, pošli mi to, zkusím ti pomoci. Večer pošleš, ráno to mám. mpcz, 1.okt.2018

[jirson]

myslím si své a at je to cokoliv, vulgarity jsem nepatří a kolega hapi3 by se měl krotit

sorry za OT

[FAny1000]

Po dovolene jsem přijel a mám bloklé hraniční MK , VPN tunely běží ale původní hesla k MK ne. Je nějaká pomoc ? nebo prostě tvrdý reset a vše znovu včetně konfigurace ?

Děkuji za rady

[Daxxim]

Po dovolene jsem přijel a mám bloklé hraniční MK , VPN tunely běží ale původní hesla k MK ne. Je nějaká pomoc ? nebo prostě tvrdý reset a vše znovu včetně konfigurace ?

Děkuji za rady

Jaké verze ROSu tam jsou? SSH či telnet jsi zkoušel?

[FAny1000]

6.42 telnet ani ssh nejede , divne je ze ispadmin hlasi ssh v pohode nejakej bordel to je

[puchnar]

pokud admin hlási ssh v pohodě, zkus se schovat za ip admina a z té se přihlásit na ssh

[roman.wifi@post.sk]

Tak moja skusenost je asi nasledovna:
Pred par dnami som zistil, ze mam vir v MK strojoch. Zistil som to tak, zemi klienti volali, ze im eset hlasi upozorneni, pripadne, ze maju zbrdeny net.
Pri prihlaseny do zavireneho MK, boli tieto ip v DNS:94.247.43.254,107.172.42.186,128.52.130.209,163.53.248.170,185.208.208.141 a scripti, pravidla v Shedulery a par pravidiel naviac. Verzia MK 6.34.6 port winboxu 8291 a pristup admin. Vir som nasiel i na verzii 6.36.3. Jedna sa zatial o Mikrotiky, ktore mali verejnu IP adresu. Cize s toho usudzujem, ze Vir, prisiel z netu a to cez port 8291 a admin .

Zaujimave je ze, stare verzie som zatial nenasiel napadnute MK 5.26, pricom ma 8291 port a pre pristup admin. Co som zistil, ze zavireny MK, odhaluje i ostatne ucty,.ako marecek, lenicka,.atd. Ak uz tam je, tak ziskava hesla. Dlho som premyslal, ako odhalil zavireny pristroj. Tak idem najskor cez www rozharnie sa don dostat a ked mi ESET zahlasi, ze Adresa bola blokovana. Tak viem, ze tam je virus. Adresa je https://www.jshosting.date./bOUb.js a IP: 212.32.255.7

Zatial som nenasiel v sieti stroj kde som mal zmeneny port winboxu i ked som tam mal uzivatela admin. Moj odhad, teda je, ze vir prisiel z netu a to stroja cez port 8291 a zameral sa na uzivatela admina.

Zatial sa s tym virum len zoznamujem, a cital som tu len asi 20stran, ale, ako zistujem, niektore su tu bludy a niektore pravdive. Normalneho cloveka, ako som bol ja, tak nevie, co ma robit ako prve atd.

Cize, by som odporucil, tym, ktorym sa nechce citat 40stran a potom si vybrat co je pravda a co nie, tak v prvom rade:
1/ zmenit verziu na 6.42.9, alebo 6,43,2
2/ zmenit port winboxu 8291 na iny
3/ a nasledne zmenit hesla, stym, ze admin uzivatel tam nesmie byt.

Tym, kto mi poradili pri kontakte s virom, velmi pekne dakujem. Jedna sa o dvoch ludi , DAKUJEM.

[Petr Bačina]

Předpokládám, že máte klienty na veřejkách za nějakým ze svých mikrotik GW....

Do FW na GW, nepouštět nic z toho na klienty a hotovo. GW aktualizovanou, DROP všeho co na ní přijde v Inputu, včetně zakázání pingu.

Kód: Vybrat vše

28    ;;; Povolen  odpov di ICMP z netu
      chain=forward action=accept connection-state=established protocol=icmp
      in-interface=ether2 log=no log-prefix=""

29    ;;; Povolen  odpov di ICMP z netu
      chain=forward action=accept connection-state=related protocol=icmp
      in-interface=ether2 log=no log-prefix=""

31    ;;; Povolen  vy  dan ho ICMP pingu na GW

      chain=input action=accept connection-state=established protocol=icmp
      in-interface=ether2 log=no log-prefix=""

33    ;;; Drop ICMP ping z netu do s t

      chain=forward action=drop protocol=icmp
      src-address-list=!ftp_ssh_telnet_povoleno in-interface=ether2 log=no
      log-prefix=""

34    ;;; Povolen  vy  dan  komunikace do vnit n  s t
      chain=forward action=accept connection-state=established protocol=tcp
      in-interface=ether2 dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no
      log-prefix=""

35    ;;; Povolen  vy  dan  komunikace do vnit n  s t
      chain=forward action=accept connection-state=established protocol=udp
      in-interface=ether2 dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no
      log-prefix=""

36    ;;; DROP komunikace do vnit n  s t
      chain=forward action=drop protocol=tcp
      dst-address-list=!ftp_ssh_telnet_povoleno in-interface=ether2
      dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no log-prefix=""

37    ;;; DROP komunikace do vnit n  s t
      chain=forward action=drop protocol=udp
      dst-address-list=!ftp_ssh_telnet_povoleno in-interface=ether2
      dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no log-prefix=""

Počet napadených strojů? 0. Pokusů o průnik do sítě na 8291, 22,23 atd? Tisíce za sekundu.

[roman.wifi@post.sk]

Tomu verim. Treba hlavne nastavit pravidla na hlavnom servre, to spravit ako prve, nech sa zamedzi viru, co najviac.