Pokusy o přihlášení na Mikrotiky

Návody a problémy s konfigurací.
mrazek609
Příspěvky: 163
Registrován: 7 years ago

Re: Pokusy o přihlášení na Mikrotiky

Příspěvekod mrazek609 » 5 months ago

mpcz píše:Tak to jsem rád, že jsem to pochopil správně. Takže to vypadá ZATÍM tak, že alespoň dočasný/náhradní indikátor funguje.
Ještě k tomu torchu, zdá se mi, že funguje nějak divně, třeba roletka port 8291, winbox volba a 2. winbox volba (?), dává různé výsledky, navíc se to po chvíli zasekne a dost často se zasekne celý Winbox 3.13/Win10. Toho jsem si dříve nevšiml. mpcz, 20.5.2018

To mi dělá již mnoho let a několik verzí zpět. Není nad to v torch vyplnit port (třeba 8291) ručně, protože jak dám winbox nebo ssh cokoliv, tak nezobrazuje všechnu komunikaci.
0 x

mpcz
Příspěvky: 2192
Registrován: 12 years ago

Příspěvekod mpcz » 5 months ago

mrazek609 píše:
mpcz píše:Tak to jsem rád, že jsem to pochopil správně. Takže to vypadá ZATÍM tak, že alespoň dočasný/náhradní indikátor funguje.
Ještě k tomu torchu, zdá se mi, že funguje nějak divně, třeba roletka port 8291, winbox volba a 2. winbox volba (?), dává různé výsledky, navíc se to po chvíli zasekne a dost často se zasekne celý Winbox 3.13/Win10. Toho jsem si dříve nevšiml. mpcz, 20.5.2018

To mi dělá již mnoho let a několik verzí zpět. Není nad to v torch vyplnit port (třeba 8291) ručně, protože jak dám winbox nebo ssh cokoliv, tak nezobrazuje všechnu komunikaci.

Z tohoto pohledu vidím vychvalování vynikající práce MKT některými kolegy v divném světle. Když nejsou schopni několik let odstranit tak jednoduché věci jako toto nebo desítky jiných, jakou mají naději proti vyspělým útočníkům? No, nezbývá, než doufat. mpcz, 20.5.2018
0 x

mrazek609
Příspěvky: 163
Registrován: 7 years ago

Příspěvekod mrazek609 » 5 months ago

Je to sice chyba a nevím jestli ji pozorují všichni. Ale mě stejně lépe vyhovuje si vyplnit port ručně za vteřinu, než ho dobu hledat v sloupečku pod názvem.

edit: když jsme u toho, tak v torch dám protocol tcp a port najdu ve sloupci winbox, tak nevidím žádnou komunikaci. Jen když si dám ručně port 8291, tak vidím vše. To může být celý problém těch, kteří hlásí, že po napadení není vidět komunikace. Jinak to dělá i zdravý nenapadený router.
0 x

mpcz
Příspěvky: 2192
Registrován: 12 years ago

Příspěvekod mpcz » 5 months ago

Tak, tak ... A proč tam jsou ty Winboxy v roletce dva, bez dalšího odlišení, ví někdo? No hledat to v té roletce, to je teda opruz. A ty zvýšené záseky Winboxu, pozoruje někdo? mpcz, 20.5.2018
0 x

Filipová Ludmila
Příspěvky: 143
Registrován: 5 years ago

Příspěvekod Filipová Ludmila » 5 months ago

mpcz píše:To není špatná myšlenka, takže znovu prosím o překlad:
L. F.: "Torch si nechávám vypsat na nácestném zařízení přes které jdou data z zařízení na které se připojuji."
Děkuji, mpcz, 20.5.2018

Tedy mám bránu do internetu port 1 jde do inetu port 2 (na tomto portu spouštím torch) propojuje jiný další routr dále v síti který byl napadený. Proč to dělám takto složitě, protože zavirované routry mám zaheslované heslem viru takže se podívám pouze z sousedního routru.

Berte to tak, že jsem 75 letá dáma která je ráda, že tomu tak trochu rozumí. Jako opravdu hapi to tuším ví díval se kdysi na ares.

Problém u tohoto viru je ten, že skoro vše může být pravda. U mne například 2 routry byli zaheslované a po 24 hodinách se technik do nich dostal čirou náhodou když se uklikl v winboxu o 1 řádku níže. Někdo si s námi dost ošklivě hraje a mám divné tušení, že toto je jen začátek něčeho "lepšího". Protože na rovinu věřit MK, že něco opravili to tu bylo již mockrát a najednou se ukáže, že zase to samé nebo v bleděmodrém variace na to předchozí.

LF
1 x

Uživatelský avatar
Myghael
Příspěvky: 1154
Registrován: 6 years ago

Příspěvekod Myghael » 5 months ago

Nevím teď přesně co si představit pod tím kliknutím o řádku níže, tedy kromě seznamu adres, avšak to by se pak ten technik připojil někam jinam? S tím zbytkem plný souhlas, ať už je ti/vám (dle názoru na "netiketu") 25, 75 nebo třeba 150 let.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

SpeedyGT
Příspěvky: 92
Registrován: 4 years ago

Příspěvekod SpeedyGT » 5 months ago

Mě například do mikrotiků ťuká dost zařízení, které mají první 2 oktety IP adresy shodné. Nevím jestli je to náhoda, ale jde z toho cca 95% všeho přístupu na port 8291. Cca polovina těch IPeček dokonce odpovídá na portu 80 a je na ních logovací okno do mikrotiku. RoS na tikách co se otvírají nejčastěji jsou 6.30.4-6.34.4.
0 x

mpcz
Příspěvky: 2192
Registrován: 12 years ago

Příspěvekod mpcz » 5 months ago

Není to náhoda, už jsem to tu psal. Jsou to nakažené stroje, v CZ jsem si to ověřil osobně telefonátem. A také to, že pokusy zachycené v logu zase mají IP úplně odlišnou. mpcz, 20.5.2018
0 x

SpeedyGT
Příspěvky: 92
Registrován: 4 years ago

Příspěvekod SpeedyGT » 5 months ago

Jinak u nás v síti máme odjakživa přístup winbox na portu 8291 ponechán pouze pro rozsah veřejnách IP adres z našeho AS + z lokální 10.0.0.0/8 sítě a nevím o žádném napadeném mikrotiku (ťuky ťuk). Web na 80tce všude vždy vypnutý.
1 x

Uživatelský avatar
Myghael
Příspěvky: 1154
Registrován: 6 years ago

Příspěvekod Myghael » 5 months ago

Máme to stejně a rovněž není problém. Máme pokusně vystaveno na veřejku RB532 s ROS 5.26 a zatím žije. :D
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

iTomB
Příspěvky: 745
Registrován: 12 years ago

Příspěvekod iTomB » 5 months ago

Tak tohle ma kamos, vecer resime ...
Do PC se mi nic nestahlo, pripojeno pres winbox 3.13.
Zadne pripojeni pred a to vice jak 2 mesice.
Přílohy
Napadnuti1.png
Napadnuti1.png (208.66 KiB) Zobrazeno 518 x
0 x

mpcz
Příspěvky: 2192
Registrován: 12 years ago

Příspěvekod mpcz » 5 months ago

Tradiční otázka: torch na WAN port 8291 říká co? Děkuji, mpcz, 21.5.2018
0 x

Dalibor Toman
Příspěvky: 1196
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 5 months ago

DD,

verze ROSu?
soubor 'j' se nachazi ve files? Co obsahuje?


podle https://forum.mikrotik.com/viewtopic.ph ... 99#p650842 se jedna o signaturu utoku z brezna. Takze IMHO myslim, ze se zjisti, ze:
je tam stary ROS s Chimay-Red problemem (zapnuty ip services web) , ktery nekdo na dalku zkousi vyuzit ke spusteni /tools fetch ke stazeni a naslednemu spusteni nejakeho slozitejsiho skriptu/binarky
0 x

Dalibor Toman
Příspěvky: 1196
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 5 months ago

mpcz píše:Tradiční otázka: torch na WAN port 8291 říká co? Děkuji, mpcz, 21.5.2018

pravdepodobne se zjisti, ze ten MT utoci na winbox, ale take muze utocit na uplne jinou sluzbu nebo v te chvili nedelat nic (snadno) pozorovatelneho. Takze absence pokusu o spojeni na winbox port nemusi znamenat, ze je MT cisty
0 x

mpcz
Příspěvky: 2192
Registrován: 12 years ago

Příspěvekod mpcz » 5 months ago

Ano, asi tak bude, ale zas na druhou stránku, pokud bude hltit internet na portu 8291 (nebo jiném), tak víme, že je nakažený téměř určitě. A to taky není k zahození, že ... (ne, že bysme po tom toužili). mpcz, 21.5.2018
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 12 hostů