Pokusy o přihlášení na Mikrotiky

myghael

Opravdu tyhle poučné příspěvky miluji. Přece je to jen o tom, co je předávací rozhraní. V našem případě je to konektor RJ 45 na optické bráně. Zákaznický router za tímto předávacím rozhraním je již zákazníkův majetek a volba. Kdyby Mikrotik neměl díry v systému nebylo by co řešit. Až se vyskytne problém, tak ti co si zvolili Mikrotik budou v pytli a samozřejmě budou volat nás (jen zlomek lidí se o routery stará, nevyjímaje ajťaky různých firem). Jen jsem příspěvkem chtěl sdělit, že by se hodila utilita, která by využila bezpečnostní chyby Mikrotiku, aby do něj stejným způsobem jako útočník pronikla, opravila by ho a zabezpečila. Jsem přesvědčen, že by jste si ji i Vy určitě stáhl....

Já taky, psal jsem ovšem o zařízeních poskytovatele, a tam předpokládám ve sporu nebudeme. A ano, na zákaznická zařízení by se ta utilita šikla, ale jak znám mikrotik, zřejmě si ji nakonec upatlám sám.

pintero

oddělení sítě od zákaznických prvků to je základ, potom už ce člověk tak být nemusí...

já furt hlavně nechápu co tady všichni tak najednou vyvádějí když tohle už není zas taková novinka s tím virem a bylo dost času si to dát do kupy....

No já jsem se snažil upgradovat, ale když 4ks z 20 skončily výjezdem, tak jsem toho nechal. Většinou se jedná o starší kusy ještě s verzí 5.26, ať to byl Omnitik, 750, SXT. Zařízko už nenaběhlo, restartovalo se v kuse....

mpcz

oddělení sítě od zákaznických prvků to je základ, potom už ce člověk tak být nemusí...

já furt hlavně nechápu co tady všichni tak najednou vyvádějí když tohle už není zas taková novinka s tím virem a bylo dost času si to dát do kupy....

No to je divné, ani si nepamatuji, že by se upgrade někdy nepovedl a to tu mám i hodně staré vykopávky ... mpcz, 16.5.2018

robotvor

oddělení sítě od zákaznických prvků to je základ, potom už ce člověk tak být nemusí...

já furt hlavně nechápu co tady všichni tak najednou vyvádějí když tohle už není zas taková novinka s tím virem a bylo dost času si to dát do kupy....

No to je divné, ani si nepamatuji, že by se upgrade někdy nepovedl a to tu mám i hodně staré vykopávky ... mpcz, 16.5.2018

Máme stejnou zkušenost. Většinou opravdu starší verze bordů 411,433,433AH ale i SXT. Neustálé restatrty nebo nenainstalované wifiny. Nutno přeinstlovat přes netinstal.

pintero

No to je divné, ani si nepamatuji, že by se upgrade někdy nepovedl a to tu mám i hodně staré vykopávky ... mpcz, 16.5.2018

A jak to instaluješ? Přímo z 5.26 na 6.42.1? Používáš Main package, nebo Extra packages?

the_max

Já taky nemám s aktualizacema nějak extra problém. Jen na třech deskách mám extra packages, jinak všude je main package. Aktualizuju hromadně přez Dude, mikrotiky mám rozdělené do několika skupin, které aktualizuju v určitém pořadí hlavně z důvodu, abych neaktualizoval RBčka za sebou, aby se nestávalo to, že druhé RBčko ještě stahuje balík a RBčko před se už restartuje.

safi

Při přímém upgrade pomocí Main package z FW 5.26 na 6.42.1 jsem taky umrtvil 2 zařízení do fáze kdy se dokola restartují. Konkrétně RG750 a RB951G-2HnD. A páč jsem šťoura tak jsem jsem si to po oživení Netinstallem zkusil znovu a ejhle ono se to restartuje opět. Takže pokud vzdálený upgrade tak nejdřív na nějakou nižší verzi (odzkoušel jsem 6.35) a teprve pak na 6.42.1.

mpcz

No to bych viděl jako úkol pro Sergeje, aby vydal jasnou direktivu, jak na to. Protože pokud bych měl jet už jen na 3 místa a dělat tam nakrátko reinstal, tak to bych mu asi pěkně poděkoval. A navíc - kvůli tomu, že má díru v jeho SW. Nebo si to mají uživatelé řešit sami? mpcz, 17.5.2018

hobbit

dotaz: jakou umrtnost mate pri upgradu mikrotiku?

V kusech to je nezajimave cislo, spis v procentech.

Kdyz vychzim z minulych zkusenosti a toho, ze pred updatem mikrotika zrestartuji, pak updatnu - a ve vysledku mi cca 2% mikrotiku umrou (potazmo vetsinou je staci manualne restartnout) tak automaticky upgrade neprichazi v uvahu.

Pro nekoho to totiz znamena 2 APcka, pro nekoho 50 radii a to je dosti neunosne.

mena

Nevím proč provádíte upgrade...

Verze 6.42.1. je taktéž děravá! Ale o tom už tady informoval pan Klíma a je to potvrzeno.

Řekl bych, že je to teď na Mikrotiku, už by konečně měl začít něco v tom dělat.

mpcz

OK, už asi někomu tato poznámka bude připadat obehraná, ale v první řadě by měl Sergej vyrobit (byť by v malém množství) indikátor "zavirování". Sice se tu někteří kolegové předhánění ve výrazech, jak je to jednoduché, ale zatím jsme neviděli/neslyšeli ani náznak. Možná divná otázka: kolik byste, při těch problémech s havarujícím upgrade, popř. s reinstalem dali za správně pracující indikátor s názvem s funkcí: "je zavirováno, není zavirováno, je napadnutelné, není napadnutelné"? Já bych situaci nepodceňoval. Představa, že se tvůrce projektu rozhodne "shodit" všechny stroje na Zemi naráz, může být docela zábavná. A jelikož nikdo neví, co všechno umí v ROS zařídit bez našeho vědomí, viděl bych to jako docela reálné. Každopádně to nevypadá na nějakého domácího kutila. Děkuji, mpcz 17.5.18

mena

od mpcz » 24 minutes agoOK, už asi někomu tato poznámka bude připadat obehraná, ale v první řadě by měl Sergej vyrobit (byť by v malém množství) indikátor "zavirování". Sice se tu někteří kolegové předhánění ve výrazech, jak je to jednoduché, ale zatím jsme neviděli/neslyšeli ani náznak. Možná divná otázka: kolik byste, při těch problémech s havarujícím upgrade, popř. s reinstalem dali za správně pracující indikátor s názvem s funkcí: "je zavirováno, není zavirováno, je napadnutelné, není napadnutelné"? Já bych situaci nepodceňoval. Představa, že se tvůrce projektu rozhodne "shodit" všechny stroje na Zemi naráz, může být docela zábavná. A jelikož nikdo neví, co všechno umí v ROS zařídit bez našeho vědomí, viděl bych to jako docela reálné. Každopádně to nevypadá na nějakého domácího kutila. Děkuji, mpcz 17.5.18

Přesně. Souhlasím. Každopádně je to teď na Mikrotiku. Opakovaně tvrdili, že jsou díry již vyřešeny v několika verzích a zatím to nebyla nikdy pravda. Situace zašla již tak daleko, že bez nějakého sofistikovaného čistícího nástroje může oprava (nějakou další verzí OS) trvat poměrně dlouho a hrozí fatální škody, jakmile se tvůrce viru rozhodne "zhasnout".

kaja

A muzes poskytnou nejake relevantni info k deravosti 6.42.1( nebo 6.40.8 ) ?

Tzn nejake masivnejsi hlaseni o napadeni na foru MKtiku? Nebo info, kde "je to potvrzeno".

Pripadne prispejte podrobnostmi nekdo, koho tato "nova" infekce postihla.

Informace o pruniku pres "smb-buffer-overflow" pri vypnutem sbm mi neprijde realna.

Mate jistotu, ze se jedna o zneuziti nejake nove chyby, nebo je to jen vyuziti hesel, ktera byla zsikana pri vyuziti nejake minule zranitelnosti a admin Mktiku sice upgradeoval na 6.42.1(nebo 6.40.8 ), ale hesla nezmenil. Nebo si nevsiml dalsiho pridaneho uzivatele.

Nevím proč provádíte upgrade...

Verze 6.42.1. je taktéž děravá! Ale o tom už tady informoval pan Klíma a je to potvrzeno.

Řekl bych, že je to teď na Mikrotiku, už by konečně měl začít něco v tom dělat.

honzam

Nevím proč provádíte upgrade...

Verze 6.42.1. je taktéž děravá! Ale o tom už tady informoval pan Klíma a je to potvrzeno

Nevím to téma od pana Klímy je dost nejasné. Jsou změněna hesla na mikrotiky ale nikdo nenapsal jaké verze tam byly nainstalovány? Opravdu 6.42.1? Nebyla zapnutá samba? Neuhodl jen někdo heslo a pak ho přepsal?

Na oficiálním mikrotik foru zatím ani zmíňka a pokud se něco takového provalí tak se to hned řeší...

crazyape

dotaz: jakou umrtnost mate pri upgradu mikrotiku?

V kusech to je nezajimave cislo, spis v procentech.

Kdyz vychzim z minulych zkusenosti a toho, ze pred updatem mikrotika zrestartuji, pak updatnu - a ve vysledku mi cca 2% mikrotiku umrou (potazmo vetsinou je staci manualne restartnout) tak automaticky upgrade neprichazi v uvahu.

Pro nekoho to totiz znamena 2 APcka, pro nekoho 50 radii a to je dosti neunosne.

Naposledy jsem updatoval kompletně celou sít z 6.38 na 6.39.2 cca 850 mikrotiku klientských + cca 200 prvků na síti a jel jsem k jednomu zakaznikovi prehravat prez netinstall.

dalibortoman

OK, už asi někomu tato poznámka bude připadat obehraná, ale v první řadě by měl Sergej vyrobit (byť by v malém množství) indikátor "zavirování". Sice se tu někteří kolegové předhánění ve výrazech, jak je to jednoduché, ale zatím jsme neviděli/neslyšeli ani náznak. Možná divná otázka: kolik byste, při těch problémech s havarujícím upgrade, popř. s reinstalem dali za správně pracující indikátor s názvem s funkcí: "je zavirováno, není zavirováno, je napadnutelné, není napadnutelné"? Já bych situaci nepodceňoval. Představa, že se tvůrce projektu rozhodne "shodit" všechny stroje na Zemi naráz, může být docela zábavná. A jelikož nikdo neví, co všechno umí v ROS zařídit bez našeho vědomí, viděl bych to jako docela reálné. Každopádně to nevypadá na nějakého domácího kutila. Děkuji, mpcz 17.5.18

nemyslim, ze je realne, aby MT napsal nejaky univerzalni nastroj detekujici zavirovani, natoz aby fungoval vzdalene. Infekce po uspesnem utoku, muze danou bezpecnostni diru zavrit. Pokud bude soucasti instalace nejaky detektor bezinfekcnosti systemu, pravdepodobne bude mozne jej pri pruniku 'opravit' tak, aby tvrdil, ze system se tesi nejlepsimu zdravi.

A chtit po vyrobci, aby zverejnil nastroj, ktery by umoznil hacknout jeho vlastni zarizeni... Opravdu Ti to prijde normalni?

Mikrotik by mel vydavat jasna prohlaseni - aby bylo jasne, ze k problemu doslo, ktere verze jsou problematicke, zda existuje nejaky workaround, ktery problem resi (vypnuti ip services www apod) a hlavne makat na odstraneni problemu. Udalosti z posledni doby IMHO ukazuji, ze se Mikrotik chova transparentne a reaguje rychle.

Mozna se objevily nejake nove chyby, ktere nejsou jeste opraveny a jsou jiz zneuzivany, ale zatim mam spise pocit, ze to tak neni. Mozna ma p. Klima pravdu, ale svadeni problemu na (nikym nepouzivane) SMB jeho informacim dost ubira na verohodnosti.

Urcite z te spousty ISP co se obratilo na p. Klimu sleduje nekdo tohle forum - muze nekdo z nich popsat co se delo s jeho MT? Pripadne nejak podporit tvrzeni, ze posledni uvolnene verze ROSu jsou derave?

mpcz

to Dalibor Toman: ano, přijde mi to normální, pouze s tím rozdílem, že nemusí fungovat na principu haknutí, ale jako součást jeho SW, třeba i po upgrade. Asi těžko říci, jak, (zvláště pro mě), ale to je snad jeho problém. Pokud bych byl autorem ROS, asi bych věděl, jak na to. Oni určitě ví, co ten vir dělá a nemůže být problém s tímto vědomím najít stopy po napadnutí - ty tam být musí. Samozřejmě, z venku se to špatně hledá. Ale on je může hledat zevnitř a to je velký rozdíl. A kromě toho, byly tady nějaké hlášky, že to napíše i cvičená opice, tak i oni by se mohli ukázat, že .. A ještě jedna věc. Když si nastražím MKT na veřejku a dám scanovat jen port 8291, uvidím za pár vteřin desítky "útoků", kdosi tu psal, že stačí nahodit scaner provozu a z toho by se asi dalo vyčíst, co ten vir dělá. Samozřejmě to musí udělat ten, kdo to umí. mpcz, 17.5.2018

ladik

Timto bych chtel pozadat cvicenou opici, aby napsala utilitu na detekci jestli je dany MikroTik zavirovany nebo ne nebo alespon at se muzu podivat, zda tam je ta druha partition.

PS: banany hradim :-D

dalibortoman

to Dalibor Toman: ano, přijde mi to normální, pouze s tím rozdílem, že nemusí fungovat na principu haknutí, ale jako součást jeho SW, třeba i po upgrade. Asi těžko říci, jak, (zvláště pro mě), ale to je snad jeho problém. Pokud bych byl autorem ROS, asi bych věděl, jak na to. Oni určitě ví, co ten vir dělá a nemůže být problém s tímto vědomím najít stopy po napadnutí - ty tam být musí. Samozřejmě, z venku se to špatně hledá. Ale on je může hledat zevnitř a to je velký rozdíl. A kromě toho, byly tady nějaké hlášky, že to napíše i cvičená opice, tak i oni by se mohli ukázat, že .. mpcz, 17.5.2018

tech viru muze byt spousta druhu (kazdy zaskodnik potrebuje neco jineho). Detekovat, ze byla zmenena binarka lze jen pokud by byla nejak verohodne podepsana. Ale utocnik muze upravit tu funkci, ktera kontroluje podpisy, takze bude vse OK i pri infekci. Navic na linuxu existovali viry, ktere se dokazaly skryt (zmanipulovany kernel a souborove sluzby), netusim jak je na tom kernel v ROSu a CPU v boardech (jake ochrany, pokud vubec proti tomu poskytuji). Takze pripadnynastroj na detekci infekce v ROSu by take mohl jen vyvolavat falesny pocit sucha a bezpeci.

PS: Nerad bych, aby se Mikrotik zmenil v antivirovou firmu. BTW ktery jiny vyrobce operacnich systemu dokaze, rict, ze v systemu neni to, co tam byt nema? Jasne ROS ma tu vyhodu, ze zadne aplikace 3tich stran se do nej nedostanou ale i kdyz omezime vyrobce na vyriobce sitovych prvku tak asi nic nenajdes.

To s tou cvicenou opici bylo dost prehnane tvrzeni (nebo nepochopeni prispevku na ktery bylo reagovano). Exploit opice nenapise ale pokud by mela k dispozici funkcni exploit tak obalit je nejakym skriptem neni tezke. Na netu se da najit exploit na SMB problem (ten je k nicemu, IMHO), exploit na problem s WWW (ten funguje jen pokud je uplne bezvetri a malo skrvn na slunci) a o exploitu na winbox zatim nevim.

mpcz

Timto bych chtel pozadat cvicenou opici, aby napsala utilitu na detekci jestli je dany MikroTik zavirovany nebo ne nebo alespon at se muzu podivat, zda tam je ta druha partition.

PS: banany hradim :-D

Vtipné. Jinak, spojení na tyto mimořádně nadané opice má kolega K3NY - tam se musíš obrátit. mpcz, 17.5.2018

« Předchozí stránka Další stránka »