Abych odpověděl trochu na otázky, sorry za zdržení, řešil jsem ty napadené MK a hledal další napadené v síti.
K verzím, našel jsem to na verzi 6.30.4; 6.34.4; 6.42.1; 6.42.2 i na 5.26
V ip/services
zakázané api, api-ssl, ftp, telnet, ssh port změněn na 2222, www port 8080, winbox 8291. Bohužel bez omezení na IP rozsah nebo konkrétní IP.
Users standard admin, silné heslo, ale omezení na vstup pouze z IP rozsahu vnitřní sítě!
V ip/firewall zakázaný pouze tcp/25 a udp/53 input.
Teď k tomu že si myslím že po upgradu už tam "vir" není. Než jsem zařízení rebootnul, oskenoval jsem si jeho otevřené porty, měl otevřený port 3553, který není zase tak typický. Při pozorování přes torch se neustále snažil komunikovat s IP adresou: 93.99.117.15 a 103.1.221.167, zkoušel si osahat porty 22,23,53,80,81,82,8080,8081,8082,8880,8888, pak otevíral telnet právě na tyto dvě IP adresy. Jedna je česká, takže můj úsudek že druhá strana je také "zavirovaná" a posílají "něco". Druhá IP už zrovna česká není.
Postupoval jsem tak, že jsem obě dvě IP zakázal před napadeným MK, komunikace utichla, změnil jsem DNS a upgradnul na poslední verzi 6.42.5, ihned po rebootu jsem upgradnul i firmware desky. Po naněhnutí jsem zkontroloval partition size, zda-li souhlasí s hardwarovou velikostí desky.
Pak sken otevřených portů, 3553 zavřený a i když jsem povolil zpět ty dvě IP adresy, už s nimi nekomunikoval.
A ještě doporučím, kdo měl nějakého napadeného MK, určitě změňte hesla v celé síti! U prvních MK co jsem našel že jsou zavirovaný jsem v logu našel spusty zkoušení hesel na ssh až to najednou vyšlo, ale dnes co jsem našel MK další, už žádné zkoušení nebylo, připojil se tam na první dobrou.
