• RouterBoard
  • MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018

to jo to vse chapu ale pokud je hackly a je v nem jine heslo a neni zakazany winbox port pripadne zmeneny tak se tam da dostat podflashovanim pres netinstall se zachovanim konfigurace pak vyzrat pres winboxexploid heslo dostat se tam pak vyexportovat nebo vycistit a prehrat na novou verzi, to vsechno chapu, ale jakmile zmeni port a nebo vypne winbox jsi v pytli, proto jsem se ptal jak umi netinstall vyexportovat config, pak by to bylo supr

ve winboxu zatrhni keep config a přeflashni to. Po bootu to natahne config zpět bez hesel a pokud tam funguje ssh nebo telnet tak se winbox dá zpětně zapnout. Případně to prostě resetnout a config by se měl uložit na disk zařízení ale to si ověř bokem jinde protože už to fungovat nemusí a asi to nebude ani export ale backup.

ve winboxu zatrhni keep config a přeflashni to. Po bootu to natahne config zpět bez hesel a pokud tam funguje ssh nebo telnet tak se winbox dá zpětně zapnout. Případně to prostě resetnout a config by se měl uložit na disk zařízení ale to si ověř bokem jinde protože už to fungovat nemusí a asi to nebude ani export ale backup.

Prave , ze ne , natahne ho zpet i s heslem admina ktere je zmeneno , a proto jsme to podflashovavali na verzi treba 6.36 kdy se to dalo winboxexploidem vycist, ale pokud vypne winbox tak exploid nejde a jsi v .. i kdyz ti to nabidne login pres telnet nebo mactelnet

o 21 dní později

Uff, tak jsem přišel na stejné problémy, Web proxy je zapnutý a static DNS je plný přesně takových záznamů, ppp doda jsem taky odstranil

další problém, je že v logu naskakují stále řádky pptp, info TCP connection established from .... a různé ip adresy

dají se tyto pokusy ve firewalu nějakým pravidlem zakázat? díky za rady

Konecne Nieco rozumne od ISPadmina...po dlhej dobe. :

Tak to netuším. Ale když si přehodíš tunely na jiný port, tak budeš mít od těch hlášek v logu pokoj. mpcz, 06.nov.2018

Ahoj kolegové,

před několika dny se mi dostal do rukou na analýzu MT, kterému se záhadně změnili porty služeb na 65000. Vzhledem k děravé verzi a diletantské konfiguraci jsem to nepovažoval za nic divného.. Dnes jsem ale zbystřil, můj honeypot totiž dopadl stějně :-D. Rád bych se tedy podělil o informace..

ROS v6.42.7, defaultní konfigurace, veřejná IP

/ip service

set telnet port=65001

set ftp port=61000

set www disabled=yes port=65003

set ssh disabled=yes port=62000

set www-ssl port=65002

set api port=64000

set winbox port=65000

set api-ssl port=63000

Daleko zajímavější je "těžební" konfigurace firewallu, viz příloha.. Máte někdo podobnou zkušenost ? :-)

<--- ia0 -->firewall.zip<--- ia0 -->

Ahoj kolegové,

před několika dny se mi dostal do rukou na analýzu MT, kterému se záhadně změnili porty služeb na 65000. Vzhledem k děravé verzi a diletantské konfiguraci jsem to nepovažoval za nic divného.. Dnes jsem ale zbystřil, můj honeypot totiž dopadl stějně :-D. Rád bych se tedy podělil o informace..

ROS v6.42.7, defaultní konfigurace, veřejná IP

/ip service

set telnet port=65001

set ftp port=61000

set www disabled=yes port=65003

set ssh disabled=yes port=62000

set www-ssl port=65002

set api port=64000

set winbox port=65000

set api-ssl port=63000

Daleko zajímavější je "těžební" konfigurace firewallu, viz příloha.. Máte někdo podobnou zkušenost ? :-)

firewall.zip

jj jeste se koukni do snifferu tam asi taky najdes prekvapeni

Světem evidentně koluje seznam provařených hesel, ale zajímavé je, že se to láme do Mikrotiků přes api i přes to, že api je povolena jenom z jedné veřejné a z té se to tam podle logů vůbec nepřihlašovalo. Včera cca v 19h nám to začlo běhat v síti.

Co to podle logu dělá:

- Uzavře to všechny services, akorát povolí SSH na portu 22 z 0.0.0.0/0

- Povolí to http-proxy

- Povolí to socks

Světem evidentně koluje seznam provařených hesel, ale zajímavé je, že se to láme do Mikrotiků přes api i přes to, že api je povolena jenom z jedné veřejné a z té se to tam podle logů vůbec nepřihlašovalo. Včera cca v 19h nám to začlo běhat v síti.

Co to podle logu dělá:

- Uzavře to všechny services, akorát povolí SSH na portu 22 z 0.0.0.0/0

- Povolí to http-proxy

- Povolí to socks

Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

Cíleně se nám tam připojili úspěšně userové bez jakýchkoliv předešlých brute-force ťukanců a rovnou i na api, které bylo omezené na jednu konkrétní IP uvedenou v services. Krom toho to pak ještě zkoušelo loginy, které jsme dříve používali, žádné jiné to ani nezkoušelo. Šlo to prostě najisto. IPečka odkud to tam bouchalo jsou různě ze světa - Indie, Argentina, Ekvádor atd...

Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

Cíleně se nám tam připojili úspěšně userové bez jakýchkoliv předešlých brute-force ťukanců a rovnou i na api, které bylo omezené na jednu konkrétní IP uvedenou v services. Krom toho to pak ještě zkoušelo loginy, které jsme dříve používali, žádné jiné to ani nezkoušelo. Šlo to prostě najisto. IPečka odkud to tam bouchalo jsou různě ze světa - Indie, Argentina, Ekvádor atd...

jinymi slovy rikas, ze z tech tisicu provarenych hesel vybrali napoprve to Vase a pripojili se s nim na sluzbu, ktera z jejich IP nemela pripojeni povolit? Skutecny scenar pruniku byl asi jiny...

Tak asi v tom seznamu bude kolovat heslo-IP adresa. Pak není problém se tam lognout ne?

Pokud ovšem v IP services máš povolenou jen jednu IP tak z jaké IP se ti tam logli? Z té tvojí jediné povolené?

Ne přihlášení bylo uplně přes jinou IP než která byla v services jako jediná přístupná pro api. Bude to asi krapet děravý jinak si to neumím vysvětlit.

Jaký scénář průniku...kdyby to byl nějaký ferda co chce pořádně škodit tak tam nezapíná zase proxyny ale shodí to trošku jiným způsobem.

Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.

Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.

Vše ok.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.

Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.

Vše ok.

Taky jsme to u jednoho RB potřebovali a tahle metoda funguje dobře:

Zveřejňování informací tohoto typu může být dle mého soudu velmi nerozumné + nebezpečné i pro samotného autora takovéto informace. Jen upozorňuji, že Sergej v nových verzích již ukládá hesla (po mnoha letech) v šifrovaném tvaru, takže se to záškodníkovi zase ztíží. mpcz, 9.nov.2018

Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.

Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.

Vše ok.

ale nad 6.43 by tojle jit uz nemelo.

Zveřejňování informací tohoto typu může být dle mého soudu velmi nerozumné + nebezpečné i pro samotného autora takovéto informace. Jen upozorňuji, že Sergej v nových verzích již ukládá hesla (po mnoha letech) v šifrovaném tvaru, takže se to záškodníkovi zase ztíží. mpcz, 9.nov.2018

rozvěď to - co je na to nerozumného a nebezpečného?

Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.

Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.

Vše ok.

ale nad 6.43 by tojle jit uz nemelo.

nezkoušel jsem, všechny hacknutý MK byly 6.42.7.

To heslo tam je sice šifrované (po novu), ale jen šifrované. Někde ten klíč být musí. Čili je to sice určité stížení (musím hledat klíč), ale někde tam prostě je.

rozvěď to - co je na to nerozumného a nebezpečného?

Že je to polopatický návod pro různé kinderhackery, jak se dostat k heslu, když dostanou nějaký board do ruky.

Pak lidi, co mají v síti stovky boardů s heslem třeba "tantan871" zapláčou nad výdělkem i když mají již upgradováno na 6.42.x.

rozvěď to - co je na to nerozumného a nebezpečného?

Že je to polopatický návod pro různé kinderhackery, jak se dostat k heslu, když dostanou nějaký board do ruky.

Pak lidi, co mají v síti stovky boardů s heslem třeba "tantan871" zapláčou nad výdělkem i když mají již upgradováno na 6.42.x.

Vše jde seknout na hraničním firewallu

o 5 dní později

Mám jeden box s verziou 6.35.x a neviem sa do neho dostať, nenastavoval som v ňom žiadny firewall ani nič nezvyčajné čo inde. Predpokladám, že je hacknutý. Cez winbox napíše, že "could not connect" cez ssh connection refused, cez winboxexploit napíše connection could be made because target actively refuse it. Cez macboxexploit vyhodí chyby:

​Exception in thread Thread-1:

Traceback (most recent call last):

File "C:\Users\user\AppData\Local\Programs\Python\Python37-32\lib\threading.py", line 917, in _bootstrap_inner

self.run()

File "C:\Users\user\AppData\Local\Programs\Python\Python37-32\lib\threading.py", line 865, in run

self._target(*self._args, **self._kwargs)

File "MCS.py", line 71, in __recv_manager__

data, _ = self.sock.recvfrom(1024*64)

socket.timeout: timed out

Nie je to smrteľné ale rád by som sa do neho dostal.

Mám jeden box s verziou 6.35.x a neviem sa do neho dostať, nenastavoval som v ňom žiadny firewall ani nič nezvyčajné čo inde. Predpokladám, že je hacknutý. Cez winbox napíše, že "could not connect" cez ssh connection refused, cez winboxexploit napíše connection could be made because target actively refuse it. Cez macboxexploit vyhodí chyby:

​Exception in thread Thread-1:

Traceback (most recent call last):

File "C:\Users\user\AppData\Local\Programs\Python\Python37-32\lib\threading.py", line 917, in _bootstrap_inner

self.run()

File "C:\Users\user\AppData\Local\Programs\Python\Python37-32\lib\threading.py", line 865, in run

self._target(*self._args, **self._kwargs)

File "MCS.py", line 71, in __recv_manager__

data, _ = self.sock.recvfrom(1024*64)

socket.timeout: timed out

Nie je to smrteľné ale rád by som sa do neho dostal.

U mně se jako nejspolehlivější ukázal linux+python3+tento: https://github.com/miladdiaz/MikrotikExploit

Samozřejmě byly nějaké vlny útoků, takže je dobré si nainstalovat nmap a mrknout jaký má ten mk otevřený porty. Jeden z útoků měnil winbox port na 65000/tcp.

Vyriesilo sa to, bol zmeneny port na winbox. Ked som nasiel spravny port hackol som to na prvy pokus.

o 17 dní později

Prosím o pomoc, mám v logu nespočet těchto hlášek z různých IP adres, je možnost ve firewallu nějakým pravidlem tyto spojení zakázat?

Jistě, přestat používat PPTP...

Přehoď si port winboxu z 8291 na jiný port, pokud už nemáš, VPN server si přehoď na jiný port a budeš mít pokoj. U té VPNky budeš asi muset použít SSTP, protože u klasického tunelu asi nejde přehodit port. Tyto hlášky, co máš, nejsou asi nic nebezpečného, ale zřejmě znervózňují majitele, zaplňují log a m.j. taky útočícím robotům dávají info, že je tam stroj, který stojí za pozornost. mpcz, 2.dec.2018

o měsíc později

Něco nového do nového roku? Zatím jsem to nezkoumal, pouze objevil -

https://cxsecurity.com/issue/WLB-2018120151

to jeste nekdo pouziva telnet?

Jde o to, že pokud jsi to nechal v defaultu, tak je zaplej. Otázkou jestli je napadnutelný i mac telnet.....

This weakness occurs "post-authentication"... takže o co jde?

Je to celkem jednoduchá cesta, jak se pohrabat přímo v linuxu pod routeros

Je to celkem jednoduchá cesta, jak se pohrabat přímo v linuxu pod routeros

A je to k něčemu užitečné? Dá se tam například něco změnit co se může hodit? :)

Změnit se tam dá právěže úplně všechno. Třeba vypnout si z loginu jen pro čtení udělat admina, nebo si vypnout DFS.

takže to samí co přes winbox.

I to, co nejde přes winbox a nikdy nešlo.

Pravděpodobně má Mikrotik slušně děravou i APInu.

Máme přístup na API povolen pomocí services pouze z IPečka ISPadmina a pokud k tomu přidáme drop na porty 8728-8729 odkudkoliv odjinud tak není problém. Pokud tam tenhle drop není tak se nám tam stejně dostane co chce a může tam být 6.43.x. Toť poslední zkušenost ze dneška.

Vidíš, to mě ani nenapadlo. API máme totiž všude vypnuté.

📡 Telekomunikace.cz