Ботнет Mēris атаковал Хабр

[Lifz]

Заявление от MikroTik:

Many of you have asked, what is this Mēris botnet that some news outlets are discussing right now, and if there is any new vulnerability in RouterOS.

As far as we have seen, these attacks use the same routers that were compromised in 2018, when MikroTik RouterOS had a vulnerability, that was quickly patched.

Unfortunately, closing the vulnerability does not immediately protect these routers. If somebody got your password in 2018, just an upgrade will not help. You must also change password, re-check your firewall if it does not allow remote access to unknown parties, and look for scripts that you did not create.

We have tried to reach all users of RouterOS about this, but many of them have never been in contact with MikroTik and are not actively monitoring their devices. We are working on other solutions too.

As far as we know right now - There are no new vulnerabilities in these devices. RouterOS has been recently independently audited by several contractors.

If you do see a RouterOS device that has malicious scripts or SOCKS configuration that was not created by you, especially if this configuration APPEARED NOW, RECENTLY, WHILE RUNNING A NEW ROUTEROS RELEASE: Please contact us immediately.

More specifically, we suggest to disable SOCKS and look in the System -> Scheduler menu. Disable all rules you can't identify. By default, there should be no Scheduler rules, and SOCKS should be off.

[Kiano]

Очень надеюсь, что всё именно так, а не какой-нибудь 0day

[flx]

увы уже "contacted immediately"

[robert_ayrapetyan]

Есть ли какой-то простой и надежный способ проверки своего роутера на заражение?

[robert_ayrapetyan]

Конечно, ведь все хранят список файлов и скриптов оригинальных. Тут нужно какие-то порты проверить открытые, скорее.. Был бы какой-то простой сканер извне чтоб это узнать.

[Oxyd]

nmap?

[Mur81]

Если есть знания на уровне MTCNA, то сделать экспорт конфигурации и просмотреть её на предмет того чего сам не настраивал. Если таких знаний нет, то я просто не понимаю как можно пользоваться микротиком (и это не высокомерие как может показаться).

В общем рекомендации-то даны в тексте выше:

1. Проверить на предмет зашедуленых заданий (которых по дефолту нет)

2. Проверить, что выклечен SOCKS (который по дефолту тоже выключен).

От себя могу добавить, что надо проверить не создано ли лишних пользователей. Ну и просмотреть файрвол на предмет лишних правил. Вот такой наверное минимум действий.

[robert_ayrapetyan]

Так а при чем тут Микротик и MTCNA, у меня вообще Linksys c openwrt, к примеру, они тоже подвержены этой напасти.

[Mur81]

Да как-то последние дни все с Микротиками носятся в связи с этим ботнетом. Вот и подумал, что про Микротик спрашиваете.
По OpenWrt увы не спец. Принципе вероятно примерно такой же должен быть, но в деталях не знаю.

[Whyborn77]

ответ MikroTik Support

[flx]

прикрутили merris колдунчик к сканнеру

https://radar.qrator.net/

[robert_ayrapetyan]

"Your device isn't listed in our Mēris botnet database" - похоже на статику, нужна именно проверка.

[MisterN]

Как наивно у и не разбирающемуся в вопросах безопасности пользователю, мне интересно, а какая кому выгода класть Хабр? Это ж не бизнес с конкуренцией, нет возможности для шантажа. Зачем хабр ддосить?

[mrBarabas]

Скорее всего, как раз таки ради шантажа (или потому что могут). По поему очень небольшому опыту общения с ддосерами - всем нужно только бабло, при этом многие это просто школота (понятно, что сабж из статьи не этот вариант) и даже не понимают, что они ничего сайту не сделают, но из-за них приходится постоянно сидеть за антиДДОС-сервисом, при этом наблюдая, примерно раз в месяц такие свечки (но с меньшими цифрами по вертикальной оси) на разных проектах.

[SelfCrafter]

Конкуренты, выкуп, тест

[MisterN]

С конкурентами у Хабра не жирно. Цукер можно назвать таким очень условно. А так, клон Хабра ещё разработать нужнл