MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

myghael

Tak tak, je to hostované v AliCloudu, tedy čínské obdobě AWS. Doména je registrovaná na čínskou firmu, takže asi tak...

pngi

Tak my taky, viz. odkaz https://drive.google.com/open?id=1_BryqILt4w23kbQml4lWt-VJAWxV3NqP. Mikrotik byl ještě před napadením na nejnovější verzi 6.42.4. Nejhorší věc je, že se mi zdá, že se to rozlezlo do téměř celé sítě. Mám plno klientů, kteří si stěžují na pomalé načítání stránek (ostatní věci jako IPTV, různé aplikace atp. fungujou ok).

Co byste dělali vy? Jde nějak ten sráč odhalit, aniž bych musel prolézt každé zařízení? Na napadených zařízeních dělám netinstall a měním heslo...

hapi

dost zajímavý, dostal sem se do jednoho routeru kde něco vytvořilo address list s acceptem a v něm byly všechny subnety z routovací tabulky a ostatní drop. Bylo tam 5 filtrů a u každýho komentář a tim že mám upgradovat atd.. a btc peněženkou. Nicméně routeru nic není a nic jinýho zdá se změněno nebylo, žádnej fetch, žádná změna hesla, žádný nový user.

dantasik

Je to zas další berlička, ale trochu pomuze pouziti blacklistu na hlavni gw:

https://blog.squidblacklist.org/?p=1658

Ty IP se tam daji i dohledat ze kterých to předtím chodilo.

Je tam aspoň sance ze se něco zastavi...

kaja

Otazka na Ty z Vas, kteri neco nasli.

Fetch je vzdy na toto FQN (www.boss-ip.com/Core/Update.ashx\........) nebo i nekam jinam?

Pokud stale na stejne FQN, nechala by se na zaklade toho udelat detekce napadeni (staci na vasem nameserveru, pokud veskery UDP/53 provoz smerujete na vlastni DNS, logovat IP, ktere se snazi o preklad tohoto FQN).

myghael

U nás vždy na tuto IP, jen tak "z legrace" tu doménu přesměrováváme a sledujeme, z jakých IP to jde - detekujeme tak nakažená zařízení. Na některých to mění DNS, takže máme i udělanou routu a malý virtuální web, který z pohledu těch zařízení simuluje ten čínský server. Každý požadavek zapíše (opět kvůli nalezení nakažených zařízení) a na zařízení vrátí tu hlášku "zatím klid, ozvi se zas". Jinak vodítkem je i název zařízení (/system identity), to zatím všude bylo nastaveno na "test".

psichac

Zdravim, dostal sa nam do ruk Mikrotik RB951Ui-2HnD ktory mal starsi firmware a bol mu planovany upgrade na 6.42.3. Po upgrade sa nerozbehol (restart nepomohol), tak sme ho vymenili za novy kus.

Teraz som ho zapol, nabehol v defaulte a vo files mame taktiez jb_cislo_cislo.backup, ale bol tam aj nejaky subor "467", ktoreho obsah je prinajmensom zaujimavy a vyzera, ze nejaka dobra dusa spravila tool na kontrolu, ak nie aj fix.

Vie to nejaky linuxak pozriet ? Nejde mi ju sem prilozit tak posielam obsah.

#!/bin/bash

echo "<< Owari Anti-Virus ( `cat /flash/rw/logs/VERSION` ) >>"

# Sets PPID to the Parent Process ID.

find_ppid () {

PD=`cat /proc/$1/status 2>/dev/null`;

PDL=`expr length "$PD"`;

CNT=1;

while [ $CNT -le $PDL ];do

CS=`expr substr "$PD" $CNT 5`;

if [ "$CS" = "PPid:" ];then

C2=$((CNT+6));

TS=`expr substr "$PD" $C2 5`;

STOP=0;

PPID="";

while [ "$STOP" -lt 1 ];do

NS=`expr substr "$PD" $C2 1`;

if [ "$NS" = "" ];then

STOP=1;

fi;

if [ ! "$NS" = "" ];then

PPID="$PPID$NS";

fi;

C2=$((C2+1));

done;

CNT=99999;

fi;

CNT=$((CNT+1));

done;

}

##### 'FatKid' prevention #####

CF="/tmp/a.txt";

if [ ! -e $CF ];then

echo -n "[ Adding 'FatKid' prevention file: $CF ... ";

echo 1 > /tmp/a.txt

echo "Done ]"

CF="/tmp/stop.txt";

if [ ! -e $CF ];then

echo -n "[ Adding 'FatKid' prevention file: $CF ... ";

echo 1 > /tmp/stop.txt

echo "Done ]"

##### 'FatKid' winbox.idx fix #####

CF="/ram/winbox.idx";

if [ ! -e $CF ];then

echo -n "[ FatKid removed $CF. Fixing ... ";

for i in $(path --postfix .info /home/web/winbox); do cat $i >>/ram/winbox.idx; done

echo "Done ]"

##### PROCESS DETECTION #####

echo "Starting process detection. Stage 1."

for FU in `find /proc/*/comm 2>/dev/null`;do

CL=`cat $FU 2>/dev/null`;

SP=`expr index "$FU" m`;

SP=$((SP-6-4));

PPID=`expr substr "$FU" 7 $SP`;

if [ "$CL" = '.s0x' ];then