MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018

to jo to vse chapu ale pokud je hackly a je v nem jine heslo a neni zakazany winbox port pripadne zmeneny tak se tam da dostat podflashovanim pres netinstall se zachovanim konfigurace pak vyzrat pres winboxexploid heslo dostat se tam pak vyexportovat nebo vycistit a prehrat na novou verzi, to vsechno chapu, ale jakmile zmeni port a nebo vypne winbox jsi v pytli, proto jsem se ptal jak umi netinstall vyexportovat config, pak by to bylo supr

ve winboxu zatrhni keep config a přeflashni to. Po bootu to natahne config zpět bez hesel a pokud tam funguje ssh nebo telnet tak se winbox dá zpětně zapnout. Případně to prostě resetnout a config by se měl uložit na disk zařízení ale to si ověř bokem jinde protože už to fungovat nemusí a asi to nebude ani export ale backup.

ve winboxu zatrhni keep config a přeflashni to. Po bootu to natahne config zpět bez hesel a pokud tam funguje ssh nebo telnet tak se winbox dá zpětně zapnout. Případně to prostě resetnout a config by se měl uložit na disk zařízení ale to si ověř bokem jinde protože už to fungovat nemusí a asi to nebude ani export ale backup.

Prave , ze ne , natahne ho zpet i s heslem admina ktere je zmeneno , a proto jsme to podflashovavali na verzi treba 6.36 kdy se to dalo winboxexploidem vycist, ale pokud vypne winbox tak exploid nejde a jsi v .. i kdyz ti to nabidne login pres telnet nebo mactelnet

Uff, tak jsem přišel na stejné problémy, Web proxy je zapnutý a static DNS je plný přesně takových záznamů, ppp doda jsem taky odstranil

další problém, je že v logu naskakují stále řádky pptp, info TCP connection established from .... a různé ip adresy

dají se tyto pokusy ve firewalu nějakým pravidlem zakázat? díky za rady

Konecne Nieco rozumne od ISPadmina...po dlhej dobe. :

Tak to netuším. Ale když si přehodíš tunely na jiný port, tak budeš mít od těch hlášek v logu pokoj. mpcz, 06.nov.2018

Ahoj kolegové,

před několika dny se mi dostal do rukou na analýzu MT, kterému se záhadně změnili porty služeb na 65000. Vzhledem k děravé verzi a diletantské konfiguraci jsem to nepovažoval za nic divného.. Dnes jsem ale zbystřil, můj honeypot totiž dopadl stějně :-D. Rád bych se tedy podělil o informace..

ROS v6.42.7, defaultní konfigurace, veřejná IP

/ip service

set telnet port=65001

set ftp port=61000

set www disabled=yes port=65003

set ssh disabled=yes port=62000

set www-ssl port=65002

set api port=64000

set winbox port=65000

set api-ssl port=63000

Daleko zajímavější je "těžební" konfigurace firewallu, viz příloha.. Máte někdo podobnou zkušenost ? :-)

<--- ia0 -->firewall.zip<--- ia0 -->

Ahoj kolegové,

před několika dny se mi dostal do rukou na analýzu MT, kterému se záhadně změnili porty služeb na 65000. Vzhledem k děravé verzi a diletantské konfiguraci jsem to nepovažoval za nic divného.. Dnes jsem ale zbystřil, můj honeypot totiž dopadl stějně :-D. Rád bych se tedy podělil o informace..

ROS v6.42.7, defaultní konfigurace, veřejná IP

/ip service

set telnet port=65001

set ftp port=61000

set www disabled=yes port=65003

set ssh disabled=yes port=62000

set www-ssl port=65002

set api port=64000

set winbox port=65000

set api-ssl port=63000

Daleko zajímavější je "těžební" konfigurace firewallu, viz příloha.. Máte někdo podobnou zkušenost ? :-)

firewall.zip

jj jeste se koukni do snifferu tam asi taky najdes prekvapeni

Světem evidentně koluje seznam provařených hesel, ale zajímavé je, že se to láme do Mikrotiků přes api i přes to, že api je povolena jenom z jedné veřejné a z té se to tam podle logů vůbec nepřihlašovalo. Včera cca v 19h nám to začlo běhat v síti.

Co to podle logu dělá:

- Uzavře to všechny services, akorát povolí SSH na portu 22 z 0.0.0.0/0

- Povolí to http-proxy

- Povolí to socks

Světem evidentně koluje seznam provařených hesel, ale zajímavé je, že se to láme do Mikrotiků přes api i přes to, že api je povolena jenom z jedné veřejné a z té se to tam podle logů vůbec nepřihlašovalo. Včera cca v 19h nám to začlo běhat v síti.

Co to podle logu dělá:

- Uzavře to všechny services, akorát povolí SSH na portu 22 z 0.0.0.0/0

- Povolí to http-proxy

- Povolí to socks

Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

Cíleně se nám tam připojili úspěšně userové bez jakýchkoliv předešlých brute-force ťukanců a rovnou i na api, které bylo omezené na jednu konkrétní IP uvedenou v services. Krom toho to pak ještě zkoušelo loginy, které jsme dříve používali, žádné jiné to ani nezkoušelo. Šlo to prostě najisto. IPečka odkud to tam bouchalo jsou různě ze světa - Indie, Argentina, Ekvádor atd...

Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

Cíleně se nám tam připojili úspěšně userové bez jakýchkoliv předešlých brute-force ťukanců a rovnou i na api, které bylo omezené na jednu konkrétní IP uvedenou v services. Krom toho to pak ještě zkoušelo loginy, které jsme dříve používali, žádné jiné to ani nezkoušelo. Šlo to prostě najisto. IPečka odkud to tam bouchalo jsou různě ze světa - Indie, Argentina, Ekvádor atd...

jinymi slovy rikas, ze z tech tisicu provarenych hesel vybrali napoprve to Vase a pripojili se s nim na sluzbu, ktera z jejich IP nemela pripojeni povolit? Skutecny scenar pruniku byl asi jiny...

Tak asi v tom seznamu bude kolovat heslo-IP adresa. Pak není problém se tam lognout ne?

Pokud ovšem v IP services máš povolenou jen jednu IP tak z jaké IP se ti tam logli? Z té tvojí jediné povolené?

Ne přihlášení bylo uplně přes jinou IP než která byla v services jako jediná přístupná pro api. Bude to asi krapet děravý jinak si to neumím vysvětlit.

Jaký scénář průniku...kdyby to byl nějaký ferda co chce pořádně škodit tak tam nezapíná zase proxyny ale shodí to trošku jiným způsobem.

Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.

Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.

Vše ok.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.

Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.

Vše ok.

Taky jsme to u jednoho RB potřebovali a tahle metoda funguje dobře:

Zveřejňování informací tohoto typu může být dle mého soudu velmi nerozumné + nebezpečné i pro samotného autora takovéto informace. Jen upozorňuji, že Sergej v nových verzích již ukládá hesla (po mnoha letech) v šifrovaném tvaru, takže se to záškodníkovi zase ztíží. mpcz, 9.nov.2018

Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.

Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.

Vše ok.

ale nad 6.43 by tojle jit uz nemelo.

Zveřejňování informací tohoto typu může být dle mého soudu velmi nerozumné + nebezpečné i pro samotného autora takovéto informace. Jen upozorňuji, že Sergej v nových verzích již ukládá hesla (po mnoha letech) v šifrovaném tvaru, takže se to záškodníkovi zase ztíží. mpcz, 9.nov.2018

rozvěď to - co je na to nerozumného a nebezpečného?

Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.

Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.

Vše ok.

ale nad 6.43 by tojle jit uz nemelo.

nezkoušel jsem, všechny hacknutý MK byly 6.42.7.

To heslo tam je sice šifrované (po novu), ale jen šifrované. Někde ten klíč být musí. Čili je to sice určité stížení (musím hledat klíč), ale někde tam prostě je.