Pokusy o přihlášení na Mikrotiky

Návody a problémy s konfigurací.
CrazyApe
Příspěvky: 530
Registrován: 3 years ago

Pokusy o přihlášení na Mikrotiky

Příspěvekod CrazyApe » 8 months ago

Zdravím,
posledni asi 3-4 dny sleduji hodně pokusů o přihlášení na klientska zaŕizení s 1:1 NATem z jinych jednotek s 1:1 NATem v nasí síti. Nebylo by to asi nic zvláštního, kdyby to nebylo z mé vlastní síte :-) ... z venku to máme ošetřené na FW ze web,telnet,ssh atd. jednotek nejsou z venku dostupne nicmene zevnitr jsme to tak nejak "zapomneli/nepotrebovali" osetrit. Nezacalo se nekomu dit neco podobneho? Dělá mi to tak 30 adres v síti mozna i víc z cca 1000 klientů. Myslíte, ze se jedna o napadené počítače za těmito IP ? (Viz. screenshot). Spis mi nejde do hlavy ze z niceho nic tolik naráz kdyby se jednalo o 2 ip adresy tak si ty lidi obvolam ale takdle jsem to zakazal na FW a premyslim kde se stala chyba ....
Dík
Přílohy
Výstřižek.PNG
Výstřižek.PNG (108.58 KiB) Zobrazeno 3834 x
0 x

Robotvor
Příspěvky: 773
Registrován: 8 years ago
antispam: Ano

Příspěvekod Robotvor » 8 months ago

V IP/services si vypni telnet,SSH a máš klid
0 x

rsaf
Příspěvky: 884
Registrován: 12 years ago

Příspěvekod rsaf » 8 months ago

To jsem zatím nezaregistroval, ale je zvláštní, že se to projevuje jen na TIKách na které je udělaný NAT1:1 (kdyby to bylo uvnitř a scannovalo vnitřní síť tak bych čekal, že to bude vidět na všech...)
Na některém z mikrotiků, odkud útok pochází, jistě celekem snadno dohledáš jeslti je to napadený TIK nebo nějaký bordel z LAN...
0 x

Petr Bačina
Příspěvky: 1043
Registrován: 4 years ago
Bydliště: Horní Slavkov
Kontaktovat uživatele:

Příspěvekod Petr Bačina » 8 months ago

Párkrát už jsem narazil na zavirovaný počítač, který se během pár minut po připojení do LANu snažil dostat na domácí router a jelikož to byl ve sledovanou chvíli Mikrotik, objevilo se to v logu. Zkoušel standardně web, ssh, telnet.
Když koukám na ten log, tak se ty pokusy opakují pořád ze stejných IP a ještě skoro stejně po sobě. Nemůže se ti to někde "cyklit" na trase klient-GW skrz harpin nat atd.?
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1514
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 8 months ago

včera jsem řešil úplně podobnej problém.. z MK ve vnitřní sítí s nastavenou veřejkou a NATem 1:1
tyto MK útočili na náš core box telnetem. Když jsem se na těch inkriminovaných MK na IP/service, vše kromě Winboxu a WWW bylo zakázáno, ale WWW svítilo červěně... to sem ještě nikdy neviděl.
Tak sem provedl preventivně upgrade a zakázal i to www. Zatím klid..
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

Uživatelský avatar
Gemb
Příspěvky: 1781
Registrován: 3 years ago

Příspěvekod Gemb » 8 months ago

V niektorych pripadoch uplne bezne, zakaz vsetky nepotrebne services. Standartne sme si na MK u klientov len winbox, zvysok vypnut.
0 x

CrazyApe
Příspěvky: 530
Registrován: 3 years ago

Příspěvekod CrazyApe » 8 months ago

Jako jasne, ip services zakazat je reseni toho problemu ale ne reseni toho co se stalo :-) ja samozdrejme telnet a ssh na svych klientech chci pac to bezne pouzivam a terminal ve winboxu mam celkem rad toho se zbavut nechci. Je to zakazane do itnernetu ale v ramci nasi site to bylo doted povolene. Telnet z jedne nasi verejky na druhou sel ale z internetu na kteroukoliv nasi nat 1:1adresu uz ne a byl roky klid. Zatim jsem to vyresil tak ze jsem zakazal ve fw forward na hlavni gw z verejek na verejky portu 22,23 pro 1:1 naty .... Jinak toto je log z jenoho klienta nicmene kdyz jsem tak nejak random prolezl cca 20-30 klientskych jednotek tak sem napocital cca 30 adres dohromady z kterych to leti. Pridavam PS z jiné jednotky.

Sit je routovana - kazde AP ma neverejny /24 blok pro klienty a na hlavni gw se to 1:1 na verejku
Kazdy klienta ma 1:1 NAT krom vyjimek, kteri maji primo verejku(firmy)
Kazda verejka na kterou je natovana neverejka projde nejakym zakladnim FW estabilished, connected atd. s blokem par portu
U nikoho nemam hairpin
U par klientu co maji 1:1 je dst-nat nejakych portu (treba kvuli PS4 atd.) ale to by na to asi nemelo mit vliv.

Večer vypnu FW a zkusim prez connections najit z kama to jde, neprijde mi normalni ze by 30-40 lidi zaroven chytlo nejaky bordel do pc co by mi zkousel hesla :-)
Přílohy
Výstřižek.PNG
Výstřižek.PNG (79.3 KiB) Zobrazeno 3771 x
0 x

andycelo
Příspěvky: 1
Registrován: 8 months ago

Příspěvekod andycelo » 8 months ago

To, ze sa na mikrotiky z wan siete dotazuju neustale roboti je zname, vcera cca o 18.00 sa v nasej sieti zacali telnet utoky medzi jednotlivymi MT na nasej sieti. Myslel som, ze ide o nejaky bootnet, ktory bol v danom case aktivovany u nasich zakaznikov. Skusil som spustit filter, kde mam vyblokovane vsetko okrem nasich admin ip a povolene iba konkretne porty - nepomohlo. Zakazal som eth, rovnako bez vysledku - t.j. od zakaznika z pc to neslo. Vzdy islo o MT s verejnou IP a z mt odchadzalo tisice connections do nasej siete ale i do wan - telnet bol prioritne ale nie vylucne. Zmena user konta na mt nepomohla, t.j. ani hacknuty login do nebol. Co bolo spolocne bola verejna ip a verzia ROS = 6.32.4 a 6.36.4. Vsetko bolo vyriesene upgradom na 6.40.6 posledny bugfix. Vyzera to byt na problem verzie ROS.
0 x

Uživatelský avatar
hapi
Příspěvky: 11681
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 8 months ago

a to máme +- rok od valut7 na kterej jsme se všichni totálně vysraly. Ani jsme si nepřečetly change logy s opravou.

Mimochodem https://forum.mikrotik.com/viewtopic.ph ... 77#p650160
0 x

CrazyApe
Příspěvky: 530
Registrován: 3 years ago

Příspěvekod CrazyApe » 8 months ago

My mame celou sit krom hlavni GW aktualne na 6.39.2. Takze budeme upgradovat ...

HAPI: Diky za odkaz vubec jsem o tom neslysel...
0 x

Dalibor Toman
Příspěvky: 1201
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 8 months ago

hapi píše:a to máme +- rok od valut7 na kterej jsme se všichni totálně vysraly. Ani jsme si nepřečetly change logy s opravou.

Mimochodem https://forum.mikrotik.com/viewtopic.ph ... 77#p650160


kdyz pominu shodu podmetu s prisudkem, na kterou seres dlouhodobe pro zmenu Ty, tak je IMHO mnohem pravdepodobnejsi, ze se jedna o napadene klientske zarizeni. Zrovna vcera jsem si u nas v siti delal analyzu, protoze na jedno Cisco byl prisernej smokeping. Pristupovy access-list povoloval cele nase verejne IP rozsahy a telnet scany od klientu obsadily vsechny volne VTY linky, cimz se pretizilo CPU. Na forwardovana data to samozrejme vliv nemelo. IP, ktera se za poslednich 24h pokousela o pripojeni, byla IP klientu, ne Mikrotik zarizeni.
Netusim, jestli se jedna o napadene PC nebo wifi routery u zakazniku...
1 x

Uživatelský avatar
sub_zero
Příspěvky: 1514
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 8 months ago

o tom napadeným klientu bych pochyboval... já pozakazoval i ethery ke klientům a ten traffic a útoky tam byly pořád.
vyřešil to fakt až upgrade
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

radik
Příspěvky: 233
Registrován: 3 years ago

Příspěvekod radik » 8 months ago

Ono se staci podivat na log, ze je to skutecne problem RoS:

19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:41053->xxx.xxx.xxx.xxx:23, len 60
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 52
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 55
19:10:17 firewall,info output: in:(none) out:wlan1, proto TCP (ACK,PSH), xxx.xxx.xxx.xxx:47652->xxx.xxx.xxx.xxx:23, len 61

Pomuze upgrade.
Zakazani telnetu je jen vyreseni dusledku na druhe strane, ale ne priciny.
0 x

pgb
Příspěvky: 466
Registrován: 2 years ago

Příspěvekod pgb » 8 months ago

Tuší někdo o jaké verze se týká? Changelogy čtu, ale třeba proti 6.39.3 jsem tam nic nenašel (a nebo jsem slepý).
0 x

Dalibor Toman
Příspěvky: 1201
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 8 months ago

zatim vechny IP, co jsem testoval (z tech, co prokazatelne zkouseji nejake scany), jsou primo IP klientu (davame jim verejky). Nenasel jsem zatim zadnou gateway IP (MT co je pred zakaznikem), ktera by delala neplechu. Mozna to souvisi s tim, ze web interface mame (a telnet taky) na tech MT zakazany. I kdyz jak to vypada nikdo nevi jiste jakym zpusobem se ta infekce do MT dostane

Nekteri klienti scanuji i port 8291 (Winbox), mozna nekteri z tech klientu maji MT jako router
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 12 hostů