Hack mikrotiku ?

pustil bych sniffer postupne na vsech interfacech ktere ma ten MT zapojene a podival bych se odkud tam ty dotazy chodej.

pripadne jeste muzes kouknout do logu jestli tam nahodou neni neco podezrelehe

Co je tam za verzi MK a na cem to jede?

Takové věci dělají rády cracklé verze, ve kterých běží kromě OS ještě spousta bordelu na pozadí...

Mno, tak jsem se díval do "svého" firewallu a mám to tam taky... Ten DNS dotaz přichází z wan z různých ip, vypadá to jako nějakej boot. Stačí zaříznout DNS z wan a je pokoj.

Tohle ti bude logovat, kdo se dotazuje na ten router na DNS:

/ip firewall filter add chain=input protocol=tcp dst-port=53 action=log log-prefix=DNSotrava connection-state=new place-before=1

/ip firewall filter add chain=input protocol=udp dst-port=53 action=log log-prefix=DNSotrava connection-state=new place-before=1

Pokud ve firewallu neblokuješ přístup na port 53 (TCP i UDP) a je nastaveno v /ip dns allow remote request, tak se může ptát kdokoliv.

Jo, tohle jsem u jednoho klienta řešil. Myslím, že i ty IP jsou stejné (minimálně ruské jméno z Belize je mi hodně povědomé). On tedy není u nás, ale u "konkurence". Ale firewall prázdný ... a DNS povolené remote request (což oni tak mají). SXTčko procesor stabilně na 100% Asi se nějak rozmáhá globální útok.

A nejvtipnější je ta první IP: owner = DDoS-Guard.net :-) Z Ruska, z Rostova na Donu.

Jenom me napada, neni to nejaky bot, ktery hleda cracknute mikrotiky?

Protoze crackute mikrotiky maji vetsinou poupraveny DNS sever (je to viditelne), plus dalsi veci co nevim napriklad backdoor. A bot je vyhledava podle toho jestli je dostupny DNS server a jak mu prelozi nejaky nazev?

a) proč by někdo na routerboardech používal cracknutou verzi MK?

b) asi jen málo RBček se používá jako opravdu veřejný DNS server (vzhledem k tomu, že je to vlastně jen forwarder). Proč to tam mít tedy z WAN strany povolené?

[Ok ale když to vypnu tak přestane DNS fungovat uplně (

Popravdě, ten DNS forwarder je tak debilní, že lepší je ho vůbec nepoužívat pro koncové počítače. :-( V DHCP serveru si nastavit, ať se klientům předá odkaz na nějaký normální rekurzivní resolver.

Jakmile povolíš, že má odpovídat na vzdálené dotazy, tak musíš bloknout firewallem dotazy z WAN strany, jinak se z toho udělá za chvíli holubník. Zvláště, pokud máš router z Internetu dostupný.

Tak jsem přidal DROP na firewallu a asi vyřešeno.

Je třeba dropovat z WAN strany pokusy o spojení na prot 53 pomocí UDP i TCP.

Jenom me napada, neni to nejaky bot, ktery hleda cracknute mikrotiky?

Může to být cokoliv - ať hledání craclých MK, zapojení do DNS route sítě (ale to by viděl hodně podivných DNS dotazů v cache), pokus o využití v DDOS sítí pro útok proti jiným DNS serverům, ....

ted nedávno jsem taky něco zaznamenal v noci na jednom MK jelo 6Mbit a 3500pps tam i zpět cpu 100% a vše jelo dotazy na MK a DHCP port 53 Ip sem si nezapisoval a bylo jích dost ale většina myslím začínala 179 nebo 197

takže od hakovani FTP je asi mnohem lukrativnější když vám někdo hekne MK a v DNS vám statikou nasměruje třeba banky na svuj servr a vašich x tisíc klientu ma hesla k bance v prd...

Jenom me napada, neni to nejaky bot, ktery hleda cracknute mikrotiky?

kolik asi tak bude cracknutych verzi MT ? Vyplati se nekomu kvuli tomu budovat scanner? A co by tim ziskal? Nic.

Jedna se IMHO o obycejny scan na rekurzivni DNS servery zneuzitelne k DNS amplifacation utoku. Kdyby warcz udelal to, co jsem po nem hned na zacatku vlakna chtel (sniffer), vedel by to uz davno.

Ani to využití pro DNS DDoS není úplně ideální díky debilitě toho default DNS forwarderu. Ale nemá smysl řešit. Zkrátka to DNS má být dostupné jen pro ty, koho jsem určil a ne pro všechny=jakmile povolím remote request, tka firewallem blokuji TCP+UDP port 53 z venku.

Hledání craclých MK je málo pravděpodobné, autor vylepšené verze má implementován bonzáka domů a "normální člověk" si koupí přístup za pár drobných na vhodné burze (i když s kurzem ~200 USD za 1 BTC to už taková pusa není). :-)