MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

heymen

U nás objevil ten samý problém v 6.41.2/3, ještě jsem si všiml že vypíná ve firewallu tyto pravidla:

/ip firewall filter

add action=drop chain=input connection-state=invalid disabled=yes

add action=drop chain=input disabled=yes

ludvik

Já jenom kroutím hlavou ... Nepište sem už nikdo, že jste našli "zavirovaný" mikrotik, pokud máte verzi nižší než 6.40.8 nebo 6.42.1!!! U nich je to totiž naprosto logické a předpokládatelné chování.

mpcz

To je zajímavé, že někdo, kdo má problém v tak velkém rozsahu (stovky napadených strojů), není schopen ani odpovědět na otázky, směřující k (vy)řešení problému. mpcz, 24.7.2018

3com

To je zajímavé, že někdo, kdo má problém v tak velkém rozsahu (stovky napadených strojů), není schopen ani odpovědět na otázky, směřující k (vy)řešení problému. mpcz, 24.7.2018

No co no... Podcenění zabezpečení.. Stačilo jedno pravidlo ve Firewallu pro všechny rozsahy blokovat 8291 port z internetu a nestalo by se tohle at by tam byla verze MK jakákoliv... Protože to vždy vlezlo do MK jedině touto cestou. SSH,Telnet,WWW a všechny ostatní služby měly zakázané. Ale v logu jsem nikdy nezaznamenal nikdy nikde nějaké pokusy o přihlášení z internetu tak jsem to neřešil.

mpcz

No těch nejasností bylo více. Pokud mají stroje zablokovaný přístup, jak došlo ke kontrole logu? Až se do nich dostaneš, pak bude třeba jasněji. Nebo jsou už po instalu? Změnila se u nich verze ROS? Změnila se verze po restartu? Dík, mpcz, 24.7.2018

3com

No těch nejasností bylo více. Pokud mají stroje zablokovaný přístup, jak došlo ke kontrole logu? Až se do nich dostaneš, pak bude třeba jasněji. Nebo jsou už po instalu? Změnila se u nich verze ROS? Změnila se verze po restartu? Dík, mpcz, 24.7.2018

Verze ROS je stále stejná ikdyž se vypne napájení a znova naběhne. Je to asi něco nového protože až dnes někdo založil na ofic Mikrotik foru vlákno s tím Mikrotik.php problémem. K žádnému zablokovanému jsem se ještě nedostal fyzicky tak ještě nevím více.

mpcz

No to teda gratuluji k tak rozsáhlé síti. Několik set strojů a všechny mimo dosah. Pokud ale byly napadeny ty staré nebezpečné verze, do nich se přece dovedeme dostat bez problémů nebo ne? Pak máš heslo útočníka a dál je to jednoduché.

Když oscanuješ porty, které zůstaly po zamknutí dostupné? Dík, mpcz, 24.7.2018

hapi

řešíš kraviny. Důležitý je jestli lze hacknout jakkoliv 6.42.6. Tak jak tu někdo psal 6.42.1 zdá se lze ale taky tu čtu že 6.42.5 lze zdá se také.

robotvor

Pořád jenom spekulace, proč se už konečně nevyjádří Mikrotik

mpcz

Všechny otázky mají svůj důvod. Ale jen pro toho, kdo zná odpovědi. Ti ostatní vychází z dojmů a zmůžou se jen na laciné výkřiky. Pokud někdo má pár stovek bloklých strojů, mohl by ocenit postup, jak je oživit na dálku, bez drahých výjezdů. Nebo ne? Ta tvá důležitá otázka o bezpečnosti posledních verzí tu přece padla už několikrát a to, že někdo mlhavě a velmi stručně popíše průnik, ještě neznamená ani ano ani ne. mpcz, 24.7.2018

hapi

to jsme se zase hovno dozvěděli.

3com

Jediné jak to na dálku vyřešit je získat ten login a heslo.... Titupuju, že bude na 99% v každém stroji stejný po infekci a změně... Jenom ho nějak získat no.... Pokud to není nijak možné tak bych byl i pro zkusit nějaky generator, ktery by bežel na pc vedle infikovaneho MK na stole bez netu a zkoušel se logovat než by na to heslo třeba přišel.. I kdyby to mělo trvat měsíc furt je to pro mě jednodušší verze než jezdit po klientech a resetovat každou jednotku fyzicky a znova nastavovat....

ludvik

Vzhledem k tomu, že jde o hacknutelné verze - tak si je proboha hackni. Odkazy na scripty sem pár stránek zpět dával myslím Hapi.

hapi

no, někde byly i vyplněný autentifikace přes radius takže je dost možný že tam heslo neni a tušim že majklik psal že si to povídali s jeho fiktivním raiusem a pak tam šlo se přihlásit ale k čemu to je když se nedostaneš do bashe.

mpcz

Můžeš poslat jednu z těch zamklých IP? Když už nám pan kolega Hapi nedovolil oscanovat porty. Dík, mpcz, 24.7.2018

mpcz

Vzhledem k tomu, že jde o hacknutelné verze - tak si je proboha hackni. Odkazy na scripty sem pár stránek zpět dával myslím Hapi.

Připomínka správná, možná však narazí (ale taky nemusí) na dvě věci:

- co mám postupy ve sbírce, skripty, co opsal kolega Hapi potřebují ty svoje porty. Virus pak tyto porty někdy deaktivuje. Běžně dostupné postupy vyžadují především nejvíce děravý port 80. Proto jsem doporučoval provést scan portů na zamklém stroji, z čehož lze alespoň trochu usoudit na verzi viru, popř. zvolit další postup. Jiná verze viru zase po zamknutí upgraduje ROS na "bezpečnou" verzi, z čehož lze také na ledacos usoudit. Ta se ovšem aktivuje až po restartu. Proto jsem se ptal na to, jestli se verze ROSu po restartu nezměnila. Toho dosavadního "zamykače" i s hesly se mi podařilo prolomit poměrně snadno, tato verze, pokud nemá stejný základ a informace nejsou zkreslené se zdá být mírně odlišná. mpcz, 24.7.2018

3com

Jestli máš v ruce nějaké ty loginy a hesla z toho minulého ''zamykače'' tak pošli zkusím.

3com

Když už přišla řeč na ten update ROS jednotek v celé sítí hromadně. Jak provádíte? Ručně nebo hromadně přes nějaký soft, Dude nebo Informační systém nebo jak?

crazyape

Mám app do které se dá seznam ip, loginu a hesel a příkaz který chci provést. Po SSH se to samo připojí do jedné jednotky po druhé a udělá co zadám.

basty

Máš i zpětnou vazbu zdá se něco neprovedlo? Počítám že se nepodelis. :)

« Předchozí stránka Další stránka »