MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

mpcz

Děkuji za vysvětlení, přiznám se, že tomu přesně nerozumím. Jako by ta odpověď byla na něco jiného. Předpokládám, že pro Kvalifikovaného útočníka není po napadení žádný problém dosunout do stroje další kód, pokud ví co, přepsat pár buněk paměti a Netinstall může být porušen, stroj funguje dál normálně, CRC v ROS na nic nepřijde, pokud tam vůbec je. Nemyslím, že ta varianta je úplně hloupá, dokud to někdo kvalifikovaně nevyloučí nebo nepotvrdí. Dle mého stojí za diskuzi.

Zkus si to sám, zkompilovat přepisovač, haknout, nahrát, spustit (co je zatím problém je, že po rebootu se to zase nespustí, to ale není vůbec nutné) a budeš mít toto:

<--- ia0 -->hapi-hapi.jpg<--- ia0 -->

Něco mí říká, že to s tou kontrolou kontrolního součtu nebude tak žhavé. Ale nechám se (dokonce velmi rád) přesvědčit.

mpcz, 13/10/2018

hapi

ty mluvíš o kontrole bootloaderu, já o kontrole operačního systému. Operační system nebude kontrolovat bootloader, kontroluje jenom sám sebe. Nemůže vědět že si dal novější bootloader kterej nezná kterej nemá jak ověřit. Muselo by to být někde zapsaný v zařízení což je taky přepisovatelný takže na nic. Kdo upraví bootloader upraví i hash crcčka.

K čemu tohle vůbec je dobrý? nikam to nevede. Varianta je pouze nahrát do zařízení novej bootloader a pak přes to nahrát novej ros. Tim je oprava vyřešená u zařízeních který jsou totálně kaput.

hapi

co spíš zkusit featuru mikrotiku nazvanou "reformat-hold-button". Pak by to mělo provést kompletní reset totálně všeho a smazat nenávratně veškerou konfiguraci mikrotiku. Je to záloha pro to když se zamkne boot přes network a i přesto se nikdo ke konfiguraci nedostane a tohle jí totálně smaže a podle všeho nahodí netinstall.

mpcz

Začínám se bohužel ztrácet v tom množství zatím neověřených alternativ. Zaměřil bych se proto jen na tu klíčovou věc: kde je uložena část kódu, řídící netinstall? mpcz, 13/10/2018

hapi

jakýho kódu?

tomasik

čistě teoreticky, jak by to bylo, když jsem dejme tomu na jednom PC serveru "neustale" (teoreticky) připojen winboxem na RBcko a dojde k útoku/prepisu admina přes ktereho jsem stále připojen, odpoji me to nebo to mohu zase přepsat zpět v rámci toho "neutálého" spojení ? Pokud nedojde k odpojeni winboxu....

dalibortoman

čistě teoreticky, jak by to bylo, když jsem dejme tomu na jednom PC serveru "neustale" (teoreticky) připojen winboxem na RBcko a dojde k útoku/prepisu admina přes ktereho jsem stále připojen, odpoji me to nebo to mohu zase přepsat zpět v rámci toho "neutálého" spojení ? Pokud nedojde k odpojeni winboxu....

to si to nemuzes sam vyzkouset? Prihlas se 2x nebo si zmen heslo v terminalu. Nestane se skoro nic - jen nespustis nic, co vyzaduje prihlaseni (New Terminal)

dvcompt

ahoj všem, pochopil jsem správně že zbavit se toho zas... malware pomůže pouze upgrade přeš netinstall?

smazání scriptů a filtrů není řešení?

díky

rsaf

To bohužel nikdo přesně neví. Nákaz je mnoho variant, byly různě agresivní. Podle mě ve spoustě případů si útočník "jen" povolil http/socks proxy a zabezpečil router tak, aby se na něj již nedalo útočit (já měl třeba kus s vypnutým winboxem) ale jinak tomu nemusí nic být...

mpcz

No právě proto, že to nikdo neví, je Netinstall dobré řešení. Pokud je konfigurace jednoduchá, je lepší nastavit to znovu manuálně. Kdo se umí v konfiguraci exportu orientovat, může si ho před Netinstallem vyexportovat, projít okometricky a vyházet podezřelé operace. Pak ho po Netinstallu nacucnout znovu. Pak vypnout všechny nepotřebné služby a u těch používaných přehodit čísla portů. Nakonec pustit utilitu kontrolující scanování portů útočníkem. To je dle mého nejjednodušší řešení, které pokryje většinu pilně a neúnavně pracujících robotů. mpcz, 16/10/2018

dvcompt

Děkuji za info. Mě bohužel rozpojil pptp tunel a není možné ho znovu spojit.

mpcz

A co z toho plyne? Že rozpojil tunel. mpcz, 16/10/2018

rsaf

PPTP tunel nejspíš rozpojil proto, že tam využívají pro přístup i PPTP server, případně to mohla shodit nějaká firewallová pravidla co se tam nasypala.

Jinak souhlasím s tím, že netinstall a nová konfigurace je nejjistější řešení, jak se marastu zbavit.

mpcz

No jistě, ale jaký to má vliv na další postup očisty? mpcz, 16/10/2018

mladas

No právě proto, že to nikdo neví, je Netinstall dobré řešení. Pokud je konfigurace jednoduchá, je lepší nastavit to znovu manuálně. Kdo se umí v konfiguraci exportu orientovat, může si ho před Netinstallem vyexportovat, projít okometricky a vyházet podezřelé operace. Pak ho po Netinstallu nacucnout znovu. Pak vypnout všechny nepotřebné služby a u těch používaných přehodit čísla portů. Nakonec pustit utilitu kontrolující scanování portů útočníkem. To je dle mého nejjednodušší řešení, které pokryje většinu pilně a neúnavně pracujících robotů. mpcz, 16/10/2018

Mozna jsem Lama ale jak netinstalem vyexportuju konfiguraci? Nikde jsem to tam nenasel, Diky

mpcz

Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018

dalibortoman

ahoj všem, pochopil jsem správně že zbavit se toho zas... malware pomůže pouze upgrade přeš netinstall?

smazání scriptů a filtrů není řešení?

díky

zatim vsechno resim jen desinfekci (skripty, scheduler, files) a vypnutim/opravou pozapinanych sluzeb (DNS vcetne allow remote requests, SOCKS, WebProxy) a opravou users a ip services a firewall. Pak upgrade ROSu.

Jedna vec je dostat se do MT ziskanim hesel druha je jailbreak, kdy utocnik muze instalovat sve binarky. A dalsi level je mit binarky tak, aby je upgrade nesmazal. Vetsine utocniku IMHO nestoji za to venovat tu spoustu casu k tomu, aby mely pristup primo k linuxovemu systemu v ROSu

Zatim jsem nepotkal nic, co by presilo desinfekci a upgrade.

dalibortoman

Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018

/export compact

vypise jen casti CFG , ktere se lisi od defaultni CFG. Takze je toho mnohem min nez plna cfg a lip se v tom hleda

mirek_k

Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018

/export compact

vypise jen casti CFG , ktere se lisi od defaultni CFG. Takze je toho mnohem min nez plna cfg a lip se v tom hleda

Dnes už je "compact" zapnuto defaultně.

dalibortoman

Dnes už je "compact" zapnuto defaultně.

aha, dik. Stary pes a stary kousky :-)

« Předchozí stránka Další stránka »