Pokusy o přihlášení na Mikrotiky

invia

Nechápu, proč se tady řeší nějaká utilitka, která má testovat napadený mikrotik. Pokud jsou informace od pana Klímy správné, nejspíš virus má root práva na to, aby vytvořil novou partition. Aby jsi zjistil, zdali je na mikrotiku tento oddíl, musel by si buď znovu projít hackovací proces, použít návod pomocí openwrt nebo by v mikrotiku museli udělat nějaké api. Ani jedna z možností ale nedává smysl. Nevím, proč si nechávat v síti zařízení, o kterém vím, že tam daná chyba je. Prostě upgraduju na verzi, kde je chyba fixnutá a je po problému. Žádné "odvirovací utility" a podobné zhovadilosti prostě k ničemu nebudou. Ohledně odvirování již zavirovaného tiku o to se musí postarat mikrotik sám. Ale od určité verze testuje všechny soubory a ty které tam nepatří, automaticky maže. Asi jen pánové zapomněli, že jde vytvořit nový oddíl na disku. Ale vzhledem ke správnému postoji vúči poslední zranitelnosti ve winboxu si myslím, že po poskytnutí supout file popřípadě přístupu k napadenému zařízení to budou schopni vyřešit další verzí.

Podle mě se pánové z Mikrotiku zachovali správně a udělali vše, aby byla zranitelnost co nejdřív odstraněna. Pokud někdo nechal vystavené zařízení na veřejné IP po takovou dobu, nechráněné firewallem, je to jeho blbost.

george_tu

Nechápu, proč se tady řeší nějaká utilitka, která má testovat napadený mikrotik. Pokud jsou informace od pana Klímy správné, nejspíš virus má root práva na to, aby vytvořil novou partition. Aby jsi zjistil, zdali je na mikrotiku tento oddíl, musel by si buď znovu projít hackovací proces, použít návod pomocí openwrt nebo by v mikrotiku museli udělat nějaké api. Ani jedna z možností ale nedává smysl. Nevím, proč si nechávat v síti zařízení, o kterém vím, že tam daná chyba je. Prostě upgraduju na verzi, kde je chyba fixnutá a je po problému. Žádné "odvirovací utility" a podobné zhovadilosti prostě k ničemu nebudou. Ohledně odvirování již zavirovaného tiku o to se musí postarat mikrotik sám. Ale od určité verze testuje všechny soubory a ty které tam nepatří, automaticky maže. Asi jen pánové zapomněli, že jde vytvořit nový oddíl na disku. Ale vzhledem ke správnému postoji vúči poslední zranitelnosti ve winboxu si myslím, že po poskytnutí supout file popřípadě přístupu k napadenému zařízení to budou schopni vyřešit další verzí.

Podle mě se pánové z Mikrotiku zachovali správně a udělali vše, aby byla zranitelnost co nejdřív odstraněna. Pokud někdo nechal vystavené zařízení na veřejné IP po takovou dobu, nechráněné firewallem, je to jeho blbost.

blbá otázka, jak vytvoříš supout file v mikrotiku, kde Ti vir změnil heslo a nedostaneš se do něj? to samé když ho mikrotiku zpřístupníš na dálku a nemáš k němu přihlašovací údaje? :)

Upgraduješ na verzi, kde je chyba fixnutá - a ty víš která to 100% je? Mikrotik tvrdil, že je to od určité verze fixnuté a pokud jsem dobře četl i poslední stable verze může mít chybu, - někdo řiká ano, někdo ne, takže? mám upgradovat 1600 mikrotiků na základě domněnky? proto čekám na ofiko vyjádření od mikrotiku, které by se fakt hodilo...

mpcz

to Invia: Tak jsi nám osvětlil, jak jsme zhovadilí a blbí, Mikrotik dokonalý. OK, máme tu demokracii. I když tomu technicky vůbec nerozumím, mám svůj rozum a jen s tím hledám v tom tvém příspěvku alespoň zbla pravdy a snahy, jak to vyřešit. Marně. mpcz, 18.5.2018

invia

blbá otázka, jak vytvoříš supout file v mikrotiku, kde Ti vir změnil heslo a nedostaneš se do něj? to samé když ho mikrotiku zpřístupníš na dálku a nemáš k němu přihlašovací údaje? :)

Upgraduješ na verzi, kde je chyba fixnutá - a ty víš která to 100% je? Mikrotik tvrdil, že je to od určité verze fixnuté a pokud jsem dobře četl i poslední stable verze může mít chybu, - někdo řiká ano, někdo ne, takže? mám upgradovat 1600 mikrotiků na základě domněnky? proto čekám na ofiko vyjádření od mikrotiku, které by se fakt hodilo...

Ajoo... Jsem to ale blbec .

Ano všechno jsou to domněnky, ale minimálně chyba s winboxem je v nejnovější verzi fixnutá. Zas se mi ale nezdá, že pokud by byla nová chyba, která začala hromadně napadat mikrotiky, nikdo by nic nenapsal na mikrotik foru.

to Invia: Tak jsi nám osvětlil, jak jsme zhovadilí a blbí, Mikrotik dokonalý. OK, máme tu demokracii. I když tomu technicky vůbec nerozumím, mám svůj rozum a jen s tím hledám v tom tvém příspěvku alespoň zbla pravdy a snahy, jak to vyřešit. Marně. mpcz, 18.5.2018

Proč na sebe vztahuješ slovo "zhovadilost" v mém příspěvku, které není na nikoho mířeno? Jen jsem napsal, že psát takový program, který byl "popsán" o několik příspěvků výše je zhovadilost. :) Nedošel jsem se hádat ani obhajovat Mikrotik a už vůbec ne někoho urážet. Ale žádný software není bez chyb, otázka je, jak se vývojář k dané chybě postaví.

A nevím, co chceš pořád řešit. Podle p. Klímy došlo ke zneužití staršího exploitu navíc v SMB protokolu, který asi moc lidí na MT nepoužívá. Nevím, co rozumnějšího je, než upgradovat na verzi, která danou chybu opravuje?

Podle coresecurity byl navíc tento exploit opraven před vydáním popisu dané chyby. Proč si teda nechávat na síti zařízení, se zapnutým SMB, na veřejné IP (ano sice se routery potom napadají po LAN, ale nějak se to do sítě z venku dostat muselo) a s vědomím, že je tam bezpečnostní díra? Nebo to opravdu chceš program, který ti musí červeně vypsat "Device is vulnerable"?

filipovaludmila

A muzes poskytnou nejake relevantni info k deravosti 6.42.1( nebo 6.40.8 ) ?

Tzn nejake masivnejsi hlaseni o napadeni na foru MKtiku? Nebo info, kde "je to potvrzeno".

Pripadne prispejte podrobnostmi nekdo, koho tato "nova" infekce postihla.

Informace o pruniku pres "smb-buffer-overflow" pri vypnutem sbm mi neprijde realna.

Mate jistotu, ze se jedna o zneuziti nejake nove chyby, nebo je to jen vyuziti hesel, ktera byla zsikana pri vyuziti nejake minule zranitelnosti a admin Mktiku sice upgradeoval na 6.42.1(nebo 6.40.8 ), ale hesla nezmenil. Nebo si nevsiml dalsiho pridaneho uzivatele.

K.

Nevím proč provádíte upgrade...

Verze 6.42.1. je taktéž děravá! Ale o tom už tady informoval pan Klíma a je to potvrzeno.

Řekl bych, že je to teď na Mikrotiku, už by konečně měl začít něco v tom dělat.

Tak třebas u mne instalace předevčírem stroje RB 3011 s novým posledním FW dopadla špatně stroj po 12 hodinách byl vyměněn a aktuálně leží na stole u nás.

Jinak pár postřehů v Files se objevuje složka web proxy. IP adresy jsou různé z kterých to přichází. 3011 to odnesly ponejvíce, pak 1009 a 1x 1016.

Co se týká děr tak můžeme začít tou která je přímo v samotném linuxu na kterém to běží a ví se o ní roky. Jinak psaní programů a sw mne je cizí. Ale pokud si to přirovnám na svoje tak prodřenej kabel si také vyměním, abych měla klid a nečekám, až upadne. To je to tak složité dopsat to co mám blbě nebo je to jen o nechtění? Nebo má MK jiný průser, že mu nějaký zhrzený vývojář čmajzl zdrojáky a ted se mstí?

Jinak pokud se zamyslíme komu všemu nahrává to co se děje. Konkurenční výrobci, velcí telko operátoři jak v prodeji služeb tak i HW vy tu máte mk, ale to my vám k té službě (za patřičný peníz) dodáme naše stroje. takže primárn to je o nasraných klientech. Jen mimochodem v kterých státech - zemích se to šíří. Možná by to mohlo více říct jestli je to něčí zájem. A nebo je to jen zlý útočník.

mpcz

to Invia: Přečti si prosím dobře a pozorně, co tady někteří (i já) chtějí. A že by Mikrotik reagoval perfektně, jak se tu dost často píše, to si tedy rozhodně nemyslím. Pokud bych tady nevysedával u fóra, tak bych se o tom ani nedozvěděl. A rozhodně bych nebyl sám. A to, co dělá člověk automaticky, t.j. občasné upgrade na novou verzi, to jak vidno, stejně nepomůže. A krom toho, je spousta uživatelů, kteří ani neví, že nějaké fórum existuje. Co se stane s nimi? Včera se řešil zaheslovaný mikrotik, který používal majitel obchůdku k otevírání závory před krámem. Dlouhá léta nic nepotřeboval, občas udělal upgrade, teď toto. A není to tím, že neměl FW, je to chybou výrobce SW. To je ten tvůj blbec? Kdyby alespoň Mikrotik vydal nějakou oficiální zprávu a snažil se aspoň trochu ji protlačit k uživatelům, když už ne technické řešení - ale nic jsem nezahlédl. mpcz, 18.5.2018

invia

To Filipová Ludmila: Jestli sem pochopil, to rb3011 je napadené? Pokud jo, která verze ROS tam byla?

Jinak s opravou sw chyb tak rozsáhlého systému to není uplně jednoduché. Změna jedné funkce může mít dopad na dalších 20 funkcí, které můžou následně přestat pracovat nebo to dokonce vytvoří díru novou.

Edit:

...Já bych se za nějakou diagnostickou věc taky vřele přimlouval, ať už bude mít podobu jakoukoliv. Hlavně když mi to řekne: je napadeno / není napadeno, popř. je napadnutelné / není napadnutelné...

v první řadě by měl Sergej vyrobit (byť by v malém množství) indikátor "zavirování".

Prostě chceš naprogramovat "indikátor" zavirování, popřípadě možnost zavirování.

Ta možnost tu ale vždycky bude, pokud je v daném SW díra. Nebo se ti bude "spát" lépe, pokud budeš vědět, že tu ta možnost je?

Co chci říct je to, že v první řadě musí Mikrotik vydat záplatu na možné průniky. Až poté psát diagnostiku. K čemu diagnostika, když se není jak bránit? :)

Základ je: zakázat všechen input ze všech adres až na dohledové centrum / dohledový PC, popřípadě vypnout nepotřebné služby v services. Víc z tvojí pozice udělat nemůžeš.

mpcz

Jestli sem pochopil, to rb3011 je napadené? Pokud jo, která verze ROS tam byla?

Jinak s opravou sw chyb tak rozsáhlého systému to není uplně jednoduché. Změna jedné funkce může mít dopad na dalších 20 funkcí, které můžou následně přestat pracovat nebo to dokonce vytvoří díru novou.

No a to je krásná ukázka toho, oč tu běží: "to RB3011 je napadené"?

A argument, nechat to na Mikrotiku - sám poukazuješ na to, že opravit to může být komplikované. Takže bych se na něj nějak extra nespoléhal.

Je to sice pořád dokolečka, promiňte, ale - udělá už někdo konečně spolehlivou diagnostiku (SW-érovou, slovním popisem) NAPADENÉHO stroje? Anebo je těch děr a technik průniku tolik, že to ani nejde? Děkuji, mpcz, 18.5.2018

dalibortoman

Tak třebas u mne instalace předevčírem stroje RB 3011 s novým posledním FW dopadla špatně stroj po 12 hodinách byl vyměněn a aktuálně leží na stole u nás.

Jinak pár postřehů v Files se objevuje složka web proxy. IP adresy jsou různé z kterých to přichází. 3011 to odnesly ponejvíce, pak 1009 a 1x 1016.

-posledni firmware znamena konkretne 6.42.1 nebo 6.40.8 ?

-bylo na te 3011 unikatni heslo? Pokud mate na vetsim mnozstvi MT stejne heslo, mohlo byt ziskano drive (starsi ROS s bezpecnostni dirou)

-ta 3011 mela verejnou IP? ktere sluzby nebyly chranene firewallem?

-lze doplnit 'IP adresy jsou různé z kterých to přichází' necim konkretnejsim? Na jake sluzby (porty) se utocilo?

Co se týká děr tak můžeme začít tou která je přímo v samotném linuxu na kterém to běží a ví se o ní roky.

a to je ktera dira? Je vubec zneuzitelna na dalku?

Jinak psaní programů a sw mne je cizí. Ale pokud si to přirovnám na svoje tak prodřenej kabel si také vyměním, abych měla klid a nečekám, až upadne. To je to tak složité dopsat to co mám blbě nebo je to jen o nechtění? Nebo má MK jiný průser, že mu nějaký zhrzený vývojář čmajzl zdrojáky a ted se mstí?

Jinak pokud se zamyslíme komu všemu nahrává to co se děje. Konkurenční výrobci, velcí telko operátoři jak v prodeji služeb tak i HW vy tu máte mk, ale to my vám k té službě (za patřičný peníz) dodáme naše stroje. takže primárn to je o nasraných klientech. Jen mimochodem v kterých státech - zemích se to šíří. Možná by to mohlo více říct jestli je to něčí zájem. A nebo je to jen zlý útočník.

LF

nahravat to muze ledaskomu a ledascemu ale to neznamena, ze za tim taky stoji.

Snazim se tady dobrat nejakych tvrdsich faktu o tom, zda existuji nejake aktualne zneuzivane bezpecnostni diry, ktere nebyly v 6.40.8 a 6.42.1 zaplatovane. Zatim nikdo neposlal informaci, ktera by to alespon trochu potvrzovala.

Jinak samozrejme pokud mate nejake opodstatnene podezreni na bezpecnostni diry je treba psat predevsim na support@mikrotik.com.

invia

Jestli sem pochopil, to rb3011 je napadené? Pokud jo, která verze ROS tam byla?

Jinak s opravou sw chyb tak rozsáhlého systému to není uplně jednoduché. Změna jedné funkce může mít dopad na dalších 20 funkcí, které můžou následně přestat pracovat nebo to dokonce vytvoří díru novou.

No a to je krásná ukázka toho, oč tu běží: "to RB3011 je napadené"?

A argument, nechat to na Mikrotiku - sám poukazuješ na to, že opravit to může být komplikované. Takže bych se na něj nějak extra nespoléhal.

Začaly se tu šířit informace o údajné zranitelnosti v nejnovějších verzích, ale nikdo pořádně nic nepotvrdil. MT forum taky nic. Proto chci jen vědět, která verze tam byla, popřípadě další podrobnosti. Příspěvek nademnou je lépe popsaný.

Pokud tam byla stará verze vystavená na veřejné IP, není se o čem bavit.

Z pohledu uživatele RoS není diagnostika možná. Pokud vir vytvoří druhou partition, nemáš to jak zjistit. Pouze se nahackovat stejným způsobem. Ale zatím jsem žádné informace o chybě v nejnovějších verzích nikde neviděl, pouze domněnky některých zdejších lidí.

mpcz

to Dalibor Toman: No umět toho víc, asi bych se do toho pustil, ale takto můžu poskytnout pouze ty požadované IP. Ostatně, když si nastražíš na veřejku mikrotik a zafiltruješ si jen port 8291, v tu ránu jich máš spousty. Třeba 178.77.209.53. Vsadil bych se, že tam je mikrotik a to napadený anebo je už napadený ten můj. Každopádně, kdo se víc orientuje, může nasadit odchyt paketů a je to (asi) jasné. mpcz, 18.5.2018

p.s. našel jsem správce nadřízené sítě útočícího stroje, je tam 6.37, ale je to se vší pravděpodobností zavirované. Už to zablokoval, takže víc se zkoumat nedá. Provozovatel je NO IT.

a v logu téměř každého MKT na veřejce najdeš další info, např.

apr/28 15 system,error,critical login failure for user test from 155.94.65.20 via ftp

apr/28 15 system,error,critical login failure for user read from 155.94.65.20 via ftp

apr/28 15 system,error,critical login failure for user default from 155.94.65.20 via ftp

apr/28 15 system,error,critical login failure for user read from 155.94.65.20 via ftp

apr/30 19 system,error,critical login failure for user anonymous from 91.121.116.128 via ftp

may/02 08 system,error,critical login failure for user www-data from 157.33.116.171 via ftp

may/03 19 system,error,critical login failure for user anonymous from 75.80.182.128 via ftp

may/04 03 system,error,critical login failure for user anonymous from 125.212.217.214 via ftp

may/04 10 system,error,critical login failure for user admin from 122.170.41.119 via ftp

may/05 04 system,error,critical login failure for user admin from 172.245.13.10 via web

may/05 15 system,error,critical login failure for user anonymous from 109.64.64.72 via ftp

may/05 18 system,error,critical login failure for user admin from 213.183.51.130 via web

may/17 08 warning denied winbox/dude connect from 185.77.128.128

may/11 19 warning denied winbox/dude connect from 117.50.7.159

may/12 00 warning denied winbox/dude connect from 31.148.219.52

may/08 08 system,error,critical login failure for user admin from 37.24.220.129 via web

may/06 05 system,error,critical login failure for user anonymous from 71.6.146.186 via ftp

may/06 09 system,error,critical login failure for user root from 157.32.78.205 via ftp

may/06 23 system,error,critical login failure for user anonymous from 71.6.167.142 via ftp

may/07 10 system,error,critical login failure for user www-data from 157.49.14.240 via ftp

apr/28 09 system,error,critical login failure for user anonymous from 51.38.12.13 via ftp

apr/28 11 system,error,critical login failure for user user from 117.222.46.220 via ftp

apr/28 15 system,error,critical login failure for user ftp from 155.94.65.20 via ftp

apr/28 15 system,error,critical login failure for user anyone from 155.94.65.20 via ftp

apr/28 15 system,error,critical login failure for user user from 155.94.65.20 via ftp

apr/28 15 system,error,critical login failure for user test from 155.94.65.20 via ftp

apr/28 15 system,error,critical login failure for user user from 155.94.65.20 via ftp

may/05 18 system,error,critical login failure for user admin from 213.183.51.130 via web

dalibortoman

to Dalibor Toman: No umět toho víc, asi bych se do toho pustil, ale takto můžu poskytnout pouze ty požadované IP. Ostatně, když si nastražíš na veřejku mikrotik a zafiltruješ si jen port 8291, v tu ránu jich máš spousty. Třeba 178.77.209.53. Vsadil bych se, že tam je mikrotik a to napadený anebo je už napadený ten můj. Každopádně, kdo se víc orientuje, může nasadit odchyt paketů a je to (asi) jasné. mpcz, 18.5.2018

p.s. našel jsem správce nadřízené sítě útočícího stroje, je tam 6.37, ale je to se vší pravděpodobností zavirované. Už to zablokoval, takže víc se zkoumat nedá. Provozovatel je NO IT.

a v logu téměř každého MKT na veřejce najdeš další info, např.

apr/28 15 system,error,critical login failure for user test from 155.94.65.20 via ftp

to ze behaji nejake scany na MT samozrejme vim taky. Ale to nedokazuje, ze posledni verze ROSu maji nejakou bezpecnostni diru.

radik

To je tady zase diskuze. Problem je v tom, ze tech utoku je nekolik a tech chyb bylo nekolik a vsechno se to seslo najednou. Proto asi ani neni realny delat nejaky testy. A chapu i Mikrotik, ze se jim absolutne nemuze vyplatit udelat nejaky nastroj a radeji resi napravu. Ze tam chyba je to vi, a snad pracuji na oprave. Jak bude oprava, tak se budou muset stejne flashnout vsechny desky protoze tam ta dira je. Stejny jak jakakoliv jina chyba.

To ze nekdo posle, ze se snazi nekdo pripojit na mikrotik neni nic neobvykleho. Roboti to delaji na vsechny zasrizeni a zkousi.

To ze nekdo posle log s tim, ze uspesne prihlaseni i po napadeni jdou videt je taky nesmysl. Clovek nevi jestli se tam neprolomil bez logu, ale zalogovalo se neco z jinyho utoku.

On je docela problem, protoze vetsina lidi nikdy ani bezpecnost neresila. Kdyby se to resilo uz na zacatku, tak by se do mikrotiku nikdo nedostal i kdyz mel tyhle diry. Hold je ted rada lidi nastvanych, ale muzou si za to i sami.

mpcz

Další takový. Zkusil bych zde zkusil popsat teorii prostého, netechnického člověka:

A/ Pokud je stroj NEzavirovaný, dá se JEDNODUŠE udělat upgrade na bezpečnou(?) verzi a popř. změnit hesla a popř. objednat technika na nastavení FW popř. další věci, co neznám.

B/ Pokud je stroj ZAvirovaný, situace je diametrálně jiná, rozhodně to je podstatně složitější a nákladnější. Nikomu se do toho nebude chtít, jsou to šachy.

C/ Protože neznáme schopnosti útočníka, jako spolehlivé řešení vidím v racku přichystaný stroj, úplně nový, s bezpečným SW. Rozhodně je otázka, jestli plán varianta B zničí plány útočníka stoprocentně. Ona představa, že to umí zamaskovat spolehlivě je velice smutná, pokud by se rozhodl zhasnout sítě na celém světě naráz. Pokud se této představě někdo směje, ať si raději počká.

Je zde základní otázka: jak poznám ZAvirovaný stroj? Oficiální diagnostika není, příspěvků spousty, některé jdou proti sobě.

Já mám zatím pouze berličku s torchem na WANu, nastavený port 8291. Je to sice primitivní, ale funguje to perfektně. Neboli, když jsem tam viděl tu hrůzu na portu 8291, vždycky byl stroj zavirovaný.V tom případě plán B.

Když jsem pustil scan na portu 8291 a vypsal přicházející IP, VŽDYCKY byl na protějšku Mikrotik a BYL zavirovaný. Na pár IP jsem si osobně zavolal, pokud byly samozřejmě v CZ. Ale jsou tam i Austrálie, Afrika, Amerika neboli CELÝ svět, to se dalo ostatně čekat. Do některých už se technik naproti nedostal, byly zaheslované (proč to dělá?).

A ještě jedna zajímavost: jakmile útok na 8291 začal, přišel v jednu chvíli, přestože jedna útočící adresa byla v CZ, druhé dvě v Rusku, jedna v Africe a další v Holandsku (asi). mpcz, 18.5.2018

invia

...Ze tam chyba je to vi, a snad pracuji na oprave...

Můžu poprosit o zdroj?

Díky

dalibortoman

Další takový. Zkusil bych zde zkusil popsat teorii prostého, netechnického člověka:

B/ Pokud je stroj ZAvirovaný, situace je diametrálně jiná, rozhodně to je podstatně složitější a nákladnější. Nikomu se do toho nebude chtít, jsou to šachy.

IMHO by mel stacit prosty upgrade. A to i v situaci, kdy si virus vytvori nejakou nova particie na disku. Protoze novy system (z upgrade) nema duvod hledat neco na jinych particiich disku (protoze vse, co potrebuje ma na systemove partici). Za predpokladu, ze BIOS bude stale bootovat ze spravne particie s ROSem. Samozrejme teoreticky v ROSu muze byt neco, co z nejakeho duvodu hleda a spousti kod i na jinych particiich - to by byla ale dalsi bezpecnostni chyba a MT by ji zajiste opravil - takze by upgrade byl po te bezpecny.

Jak se zbavit pripadne nadbytecne particie je jina otazka. Novy ROS by teoreticky mohl zalogovat (winbox zobrazit upzorneni), ze je nestandardne rozdeleny flash disk a doporucit netinstall

C/ Protože neznáme schopnosti útočníka, jako spolehlivé řešení vidím v racku přichystaný stroj, úplně nový, s bezpečným SW. Rozhodně je otázka, jestli plán varianta B zničí plány útočníka stoprocentně. Ona představa, že to umí zamaskovat spolehlivě je velice smutná, pokud by se rozhodl zhasnout sítě na celém světě naráz. Pokud se této představě někdo směje, ať si raději počká.

proto je dobre, ze v Internetu se jako routery apod pouziva komibinace ruznych vyrobcu HW i SW. Tim se moznost vypnuti celeho Internetu posouva dost vyrazne smerem do rise pohadek

Je zde základní otázka: jak poznám ZAvirovaný stroj? Oficiální diagnostika není, příspěvků spousty, některé jdou proti sobě.

Já mám zatím pouze berličku s torchem na WANu, nastavený port 8291. Je to sice primitivní, ale funguje to perfektně. Neboli, když jsem tam viděl tu hrůzu na portu 8291, vždycky byl stroj zavirovaný.V tom případě plán B.

no vidis - to je jediny zpusob jak to poznas - pozorovani projevu. Spustim analyzu dat v logu provozu a mam seznam podezrelych zarizeni/zakazniku

Když jsem pustil scan na portu 8291 a vypsal přicházející IP, VŽDYCKY byl na protějšku Mikrotik a BYL zavirovaný.

tohle je imho tvrzeni pravdive jen z casti. Ten utok uz z principu musel zacit na zarizenich jinych nez MT (protoze pred ctvrt rokem, zadny uinfikovany nebyl) a neni duvod proc by tak kampan mela dal pokracovat jen na routerboardech, kdyz jich je mnohem min nez PC s Windows, ktere tvori urcite drtivou vetsinu stroju v botnetech. Je sice mozne, ze nejaky novy hrac si tvori zcela novou botneti sit vyhradne na Mikrotik zarizenich (protoze je to pro nej z nejakeho duvodu jednodussi nebo lakavejsi) a mozna ted utok rozjel jen s minimem puvodnich siritelu infekce (/sberacu hesel) a ted tvori drtivou vetsinu uz jen MT zarizeni.

A ještě jedna zajímavost: jakmile útok na 8291 začal, přišel v jednu chvíli, přestože jedna útočící adresa byla v CZ, druhé dvě v Rusku, jedna v Africe a další v Holandsku (asi). mpcz, 18.5.2018

vetsi scany/utoky se spousteji samozrejme z vice stroju (uspora casu, obchazeni firewallu,..), takze to ze se objevi vice IP skeneru najednou je spis norma nez zajimavost

mpcz

A/ měl by stačit - to čtu jako nestačí, zvláště když se hned za tím objevuje několik kdyby.

B/ i já vím, že kromě mikrotiku existují další HW. Nicméně, pokud by zhasla najednou jen malá část částí postavených na ROS, určitě by to stálo za to. A pohádka by to nebyla. Zvláště proto, že nahození předchozího stavu by bylo vzhledem k obrovskému množství míst, které by vyžadovaly osobní a zdlouhavý zásah velmi obtížné a zdlouhavé.

C/ kolega souhlasí, netvrdím, že je to super a dokonalé, ale co jsem chtěl, to mám

D/ jen zopakuji, co jsem napsal a ověřil: Když jsem pustil scan na portu 8291 a vypsal přicházející IP, VŽDYCKY byl na protějšku Mikrotik a BYL zavirovaný.

E/ vetsi scany/utoky se spousteji samozrejme z vice stroju .... Jak psal kolega Hapi, se mnou je to těžké, to jsem nepochopil, prosím trošku více objasnit. Děkuji, mpcz, 18.5.2018

dalibortoman

A/ měl by stačit - to čtu jako nestačí, zvláště když se hned za tím objevuje několik kdyby.

jistotu nemas nikdy. Distribuovat virus uz muze i samotny vyrobce aplikace (operacniho systemu) at uz vedome ci nevedome.

V kazdem pripade je potreba aby vyrobce (Mikrotik) byl dostatecne informovan o pripadnem incidentu . Jakmile ma padne a rozumne podklady, muze znanalyzovat situaci, vydat nejake prohlaseni, kde popise stav, pokud existuje moznost jak do vydani opravy problemu zabranit ci minimalizovat jeho dopady, tak vydat prislusny navod. A pak urychlene vydat opravu

B/ i já vím, že kromě mikrotiku existují další HW. Nicméně, pokud by zhasla najednou jen malá část částí postavených na ROS, určitě by to stálo za to. A pohádka by to nebyla. Zvláště proto, že nahození předchozího stavu by bylo vzhledem k obrovskému množství míst, které by vyžadovaly osobní a zdlouhavý zásah velmi obtížné a zdlouhavé.

to ze nekolik ISP bude mit zadelano na problem na nekolik dni ci tydnu neznamena, ze se polozi Internet. Ulohu Mikrotiku bych neprecenoval. Uzivatelu Internetu, kteri jsou na nem zavisli je asi ve svetovem meritku hodne male procento.

E/ vetsi scany/utoky se spousteji samozrejme z vice stroju .... Jak psal kolega Hapi, se mnou je to těžké, to jsem nepochopil, prosím trošku více objasnit. Děkuji, mpcz, 18.5.2018

proste kdyz budu chtet oskenovat velkou sit (vsechny IP v internetu) tak to nebudu delat z jednoho stroje ale z tak velkeho mnozstvi jake si muzu dovolit. Jednak to bude trvat kratsi dobu a jednak kdyz jedno IP blokne nejaky centralni firewall driv nez oskenuje IPcka za nim, dalsi scanner se muze dostat dal (resp bude skenovat jina IP za tim firewallem)

mpcz

No začala nám vznikat debata na téma jestli jsou závěsy zelené nebo zelenkavé (Janžurová vs. Peterka). To k vyřešení problému nijak nepřispívá.

Takže jen jedna věc ještě k tomu scanování. Pokud nemám na vstupu třeba 10 minut nic a v JEDNU CHVÍLI se objeví atak/scan 8291 třeba z deseti IP adres rozesetých po celém světě (vycházím ovšem jen z databáze IP registrace), to nepřijde někomu divné? A jakou to má souvislost s plánem rozdělit útok na více strojů?

Další poznatek: teď sleduji 5 IP adres zase rozetých po celém světě (CZ, Bosna a Hercegovina, Brazílie ...) . Všechny útočí na jeden můj stejný rozsah /24, ve stejnou dobu. Není to divné?

mpcz, 18.5.2018

edit: teď mě to docvaklo, opravuji: herec Fr. Peterka

jirkak

A jste si jista, ze existence složky web proxy je Files je zapricinena napadenim mktiku?

Tak třebas u mne instalace předevčírem stroje RB 3011 s novým posledním FW dopadla špatně stroj po 12 hodinách byl vyměněn a aktuálně leží na stole u nás.

Jinak pár postřehů v Files se objevuje složka web proxy. IP adresy jsou různé z kterých to přichází. 3011 to odnesly ponejvíce, pak 1009 a 1x 1016.

Co se týká děr tak můžeme začít tou která je přímo v samotném linuxu na kterém to běží a ví se o ní roky. Jinak psaní programů a sw mne je cizí. Ale pokud si to přirovnám na svoje tak prodřenej kabel si také vyměním, abych měla klid a nečekám, až upadne. To je to tak složité dopsat to co mám blbě nebo je to jen o nechtění? Nebo má MK jiný průser, že mu nějaký zhrzený vývojář čmajzl zdrojáky a ted se mstí?

Jinak pokud se zamyslíme komu všemu nahrává to co se děje. Konkurenční výrobci, velcí telko operátoři jak v prodeji služeb tak i HW vy tu máte mk, ale to my vám k té službě (za patřičný peníz) dodáme naše stroje. takže primárn to je o nasraných klientech. Jen mimochodem v kterých státech - zemích se to šíří. Možná by to mohlo více říct jestli je to něčí zájem. A nebo je to jen zlý útočník.

LF

« Předchozí stránka Další stránka »