Děkuji za ochotu, bohužel nepochopil. Můj dotaz směřoval na ochotné kolegy, kteří ví, co s těmi RB, na které není upgrade potřebné verze a naprosto v pohodě slouží. mpcz, 31.3.2018
aby nedoslo k nakazeni staci mit zakazane v ipservices www a zrejme i www-ssl. Pripadne je firewallovat ale ze vsech stran takze je lepsi to vypnout - muze dojit k nakazeni z povolenych IPcek
zatim jsem nevidel zadny stary ROS nakazeny (5.X ci starsi). Ale u nas v siti nemame problem s nasimi MT ale vyhradne jen s temi co maji zakznici jako wifi router - protoze se na ne negeneruje cfg automatem a take nad nimi nemame kontrolu. Takze ten vzorek nemusi byt reprezentativni.
Takze zakazat www slervery a dalsi nepotrebne services a udelat firewall tak, aby se na ten MT dostal jen co nejmensi pocet IP
Jak se pozna nakaza?
- pokud je k dizpozici graf datoveho toku tak na malo zarizenych linkach je okamzite videt rovna cara odchoziho a mensiho prichoziho toku, ktery sken aktivita infekce zpusobuje
- slabsi desky maji CPU nekde u 100% (typicky hAP Lite)
- pokud je klid (nikdo pres MT nestahuje), tak ma deska datovy tok jen portem otocenym do netu. Sniffer na tom portu nebo Torch se zapnutym zobrazenim portu ukaze pokusy na pripojeni na 23 (telnet) 8291 (winbox) ci 7547 (TR-069). To je generovany s IPckem toho MT
- parkrat jsem videl na nakazanych skriptech v script/jobs bezet po 2 neznamych skriptech - ale na dalsich MT jsem nic takoveho nenasel.
a k desinfekci staci nahrat dostatecne novy ROS (pocinaje 6.38.5 stable, 6.37.5 bugfix), ktery smaze vse co nepatri k ROSu.
Btw: protoze zakaznici jsou plni hAP Litu a hEX Litu, ktere maji jen 16MB flash, narazil jsem na kusy, ktere nemely na flashce prakticky nic viditelneho a presto bylo volne misto jen 4MB - vypadalo to jako by ten vir sezral dost mista na flashce (z skryne casti). Nahrat tam ROS scpckem neslo. Ale kdyz jsem spustil çheck for update z system packages,tak se to podarilo nahrat a dokonce po rebootu i upgradovat. Cili nekde hapruje pocitani volneho mista = neni treba se hned vzdat a myslet na lokalne provedeny netinstall