MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

honzam

Koukněte jestli tam nemáte svoje IPčka? Jsou to mikrotiky které těží kryptoměnu:

https://censys.io/ipv4?q=((%22CoinHive.Anonymous%22)%20AND%20(MikroTik)%20AND%20(country%20%3D%20%22CZ%22))

nofu

Zdravím,

teď se mi taky dostal jeden asi napadenej tik do ruky. Vše nasvědčuje tomu, že v něm byl, možná ještě je ROS 5.26 => jasný, chyba. Po pročtení celého vlákna a odkazů na githubu nechápu, jak se do něj dostali. Pokud jsem pochopil správně, tak WinBoxExploit funguje od verze 6.29 do 6.42 a Chimay-Red podle PDF od CIA od 6.x do 6.38.4. Navíc si nejsem jist, zda nemusí být zapnutý WebFig (byl a je vypnutý). Heslo bylo jedinečné, tipuji tedy brutal force. Bohužel jsem spíš uživatelská lama, takže se můžu mejlit či nemusím chápat všechny souvislosti, prosím, opravte mě.

Problém je, že bych z něj celkem nutně potřeboval dostat routovací tabulku (či jak se tomu odborně říká). Napadá někoho nějakej způsob, jak jí získat? Bylo by třeba možné ten router resetnout tlačítkem, s tím, že on uloží konfiguraci před resetem do backupu a ten pak dekódovat? Není nějaká zranitelnost pro takto staré ROS, kterou jsem přehlédnul? Nenapadá vás nějaké elegantnější řešení?

EDIT: tak po průzkumi se jeví varianta resetu a dekódování backupu jako neprůchozí, také potřebuje heslo :(

honzam

po průzkumi se jeví varianta resetu a dekódování backupu jako neprůchozí, také potřebuje heslo :(

https://www.mikrotikpasswordrecovery.net/

mpcz

to Nofu: Co to je za stroj? CPU? FLASHka? Pokud vyčerpáš všechny pokusy bez výsledku a bude ti to stát za to, pošli mi to, zkusím ti pomoci. Na BF moc nevěřím. mpcz, 1.okt.2018

nofu

https://www.mikrotikpasswordrecovery.net/

Na to jsem koukal, ale pokud to dobře chápu, pak je to pro tiky s firmware 6.13+, tenhle má nejspíš 5.26, nejsem si ale jist.

to Nofu: Co to je za stroj? CPU? FLASHka? Pokud vyčerpáš všechny pokusy bez výsledku a bude ti to stát za to, pošli mi to, zkusím ti pomoci. Na BF moc nevěřím. mpcz, 1.okt.2018

Je to prosté RB951G-2HnD. V noci jsem zkoušel obě známé zranitelnosti, bez úspěchu. WinBoxExploit vrací IP adresu a Chimay-Red je podle mě bez šance, když je vypnutý WebFig. Odkud jsi?

btw. dá se nějak zjistit, taká je v tom teď verze ROS?

mpcz

to Nofu: Pokud vyčerpáš všechny pokusy bez výsledku a bude ti to stát za to, pošli mi to, zkusím ti pomoci. Večer pošleš, ráno to mám. mpcz, 1.okt.2018

jirson

myslím si své a at je to cokoliv, vulgarity jsem nepatří a kolega hapi3 by se měl krotit

sorry za OT

fany1000

Po dovolene jsem přijel a mám bloklé hraniční MK , VPN tunely běží ale původní hesla k MK ne. Je nějaká pomoc ? nebo prostě tvrdý reset a vše znovu včetně konfigurace ?

Děkuji za rady

Trnec

Po dovolene jsem přijel a mám bloklé hraniční MK , VPN tunely běží ale původní hesla k MK ne. Je nějaká pomoc ? nebo prostě tvrdý reset a vše znovu včetně konfigurace ?

Děkuji za rady

Jaké verze ROSu tam jsou? SSH či telnet jsi zkoušel?

fany1000

6.42 telnet ani ssh nejede , divne je ze ispadmin hlasi ssh v pohode :-( nejakej bordel to je

puchnar

pokud admin hlási ssh v pohodě, zkus se schovat za ip admina a z té se přihlásit na ssh

roman_wifi_post_sk

Tak moja skusenost je asi nasledovna:

Pred par dnami som zistil, ze mam vir v MK strojoch. Zistil som to tak, zemi klienti volali, ze im eset hlasi upozorneni, pripadne, ze maju zbrdeny net.

Pri prihlaseny do zavireneho MK, boli tieto ip v DNS.247.43.254,107.172.42.186,128.52.130.209,163.53.248.170,185.208.208.141 a scripti, pravidla v Shedulery a par pravidiel naviac. Verzia MK 6.34.6 port winboxu 8291 a pristup admin. Vir som nasiel i na verzii 6.36.3. Jedna sa zatial o Mikrotiky, ktore mali verejnu IP adresu. Cize s toho usudzujem, ze Vir, prisiel z netu a to cez port 8291 a admin .

Zaujimave je ze, stare verzie som zatial nenasiel napadnute MK 5.26, pricom ma 8291 port a pre pristup admin. Co som zistil, ze zavireny MK, odhaluje i ostatne ucty,.ako marecek, lenicka,.atd. Ak uz tam je, tak ziskava hesla. Dlho som premyslal, ako odhalil zavireny pristroj. Tak idem najskor cez www rozharnie sa don dostat a ked mi ESET zahlasi, ze Adresa bola blokovana. Tak viem, ze tam je virus. Adresa je :), DAKUJEM.

petrbacina

Předpokládám, že máte klienty na veřejkách za nějakým ze svých mikrotik GW....

Do FW na GW, nepouštět nic z toho na klienty a hotovo. GW aktualizovanou, DROP všeho co na ní přijde v Inputu, včetně zakázání pingu.

28 ;;; Povolen odpov di ICMP z netu

chain=forward action=accept connection-state=established protocol=icmp

in-interface=ether2 log=no log-prefix=""

29 ;;; Povolen odpov di ICMP z netu

chain=forward action=accept connection-state=related protocol=icmp

in-interface=ether2 log=no log-prefix=""

31 ;;; Povolen vy dan ho ICMP pingu na GW

chain=input action=accept connection-state=established protocol=icmp

in-interface=ether2 log=no log-prefix=""

33 ;;; Drop ICMP ping z netu do s t

chain=forward action=drop protocol=icmp

src-address-list=!ftp_ssh_telnet_povoleno in-interface=ether2 log=no

log-prefix=""

34 ;;; Povolen vy dan komunikace do vnit n s t

chain=forward action=accept connection-state=established protocol=tcp

in-interface=ether2 dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no

log-prefix=""

35 ;;; Povolen vy dan komunikace do vnit n s t

chain=forward action=accept connection-state=established protocol=udp

in-interface=ether2 dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no

log-prefix=""

36 ;;; DROP komunikace do vnit n s t

chain=forward action=drop protocol=tcp

dst-address-list=!ftp_ssh_telnet_povoleno in-interface=ether2

dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no log-prefix=""

37 ;;; DROP komunikace do vnit n s t

chain=forward action=drop protocol=udp

dst-address-list=!ftp_ssh_telnet_povoleno in-interface=ether2

dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no log-prefix=""

Počet napadených strojů? 0. Pokusů o průnik do sítě na 8291, 22,23 atd? Tisíce za sekundu.

roman_wifi_post_sk

Tomu verim. Treba hlavne nastavit pravidla na hlavnom servre, to spravit ako prve, nech sa zamedzi viru, co najviac.

hapi3

a upgrady nic? takže jenom drop a cajk? : pak totiž řešit nemusíš nic.

hapi3

Po dovolene jsem přijel a mám bloklé hraniční MK , VPN tunely běží ale původní hesla k MK ne. Je nějaká pomoc ? nebo prostě tvrdý reset a vše znovu včetně konfigurace ?

Děkuji za rady

pošli mi nějakou ip adresu než bude pozdě.

roman_wifi_post_sk

Ak by to niekoho zaujimalo:

RB133 na Verejnej IP uz asi 5x rokov verzia 5.6, prihlasenie uzivatela admin, port winboxu 8291 a je v poriadku.

hapi3

to nikoho nezajímá protože neni nakažlivá. Čet si tady vůbec něco?

fany1000

hele me se nerozjede ani netinstall , proste to tam do toho ccrka nenasype , je to mozne?

hapi3

neni

« Předchozí stránka Další stránka »