Pokusy o přihlášení na Mikrotiky

Návody a problémy s konfigurací.
Dalibor Toman
Příspěvky: 1201
Registrován: 6 years ago

Re: Pokusy o přihlášení na Mikrotiky

Příspěvekod Dalibor Toman » 7 months ago

mrazek609 píše:Tak mám taky jeden router. Nijak zvláštně se ale nechová, ani žádná komunikace mimo běžnou.

zajimave, ze vsechny screenshoty, co byly doposud zverejnene, obsahuji stejnou IP adresu, ze ktere ten utok prisel. Asi zatim jen nekdo z Taiwanu provadi proof of concept testy.
1 x

pgb
Příspěvky: 465
Registrován: 2 years ago

Příspěvekod pgb » 7 months ago

Dalibor Toman píše:Predpokladal bych, ze primarni obsluhu vsech sluzeb v prvni fazi dela nejaky obecny demon (inetd resp xinetd z linuxu), ktery provede kontrolu IP adres a pak teprve pripadne zavola binarku/skript obsluhujici konkretni sluzbu. Takze pokud neni zranitelnost primo v tom xinetd (sance je mensi, protoze ten demon jen prijme spojeni ci UDP packet a nemusi koukat na vlastni data, spusti cilovou binarku a pak jen prehazuje data) melo by omezeni IPcek stacit k tomu aby se napadnutelny winbox demon vubec nedostal ke slovu. Ale samozrejme to muze byt udelano i bez toho mezikusu s xinetd a pak by bylo na kazde sluzbe aby zkontrolovala povolena IP.


Ano, prostě nevíme, zkus tohle vysvětlit třeba apache2, tam ti apache odpovídá že nemáš přístup .......
0 x

mrazek609
Příspěvky: 167
Registrován: 7 years ago

Příspěvekod mrazek609 » 7 months ago

Doplnění k včerejšímu napadnutému routeru.
RB951 SW: 6.41.3
ip services: API, SSH, Telnet a WEB zakázno. Winbox 8291 povolen jen na konkrétní rozsah IP!
ip firewal: blokován input pouze 22-23, winbox nebyl ve filter zakázán!
user: samozřejmě admin :)
pass: velmi silné (písmena, čísla, znaky)

Po hacknutí:
ip services - ssh, telnet a web povolen
ip firewall - přidány pravidla na prvních místech (viz. příspěvek ze včera)

jinak se nic zvláštního neděje, žádná komunikace tam nejede. Dokonce je provoz čistější než obvykle, to mě děsí nejvíc.
0 x

Uživatelský avatar
honzam
Příspěvky: 5105
Registrován: 11 years ago

Příspěvekod honzam » 7 months ago

mrazek609 píše:Winbox 8291 povolen jen na konkrétní rozsah IP!

Konkrétní rozsah povolen přes IP services? Vypadá to že vir toto omezení umí obejít.
Takže doporučuji winbox omezovat přímo ve firewallu a do doby než se to vyřeší tak zakázat port winboxu přímo na GW
1 x

pgb
Příspěvky: 465
Registrován: 2 years ago

Příspěvekod pgb » 7 months ago

Jo, ideálně tyhle informace pošli na support, tady to zapadne. Jinak díky moc za info, nejsem rád když mám pravdu :( s tím nastavení address v ip servicess :(
1 x

ludvik
Příspěvky: 3980
Registrován: 7 years ago

Příspěvekod ludvik » 7 months ago

Apache jo. Jenže když to uděláš na mikrotiku, tak je to odmítnuté dřív.
A z pohledu mikrotiku mi přijde jednodušší použít xinetd. Kromě webu to jsou všechno služby tak běžně fungující, spouštěné na žádost.
pgb píše:Ano, prostě nevíme, zkus tohle vysvětlit třeba apache2, tam ti apache odpovídá že nemáš přístup .......
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.


Invia
Příspěvky: 71
Registrován: 5 years ago

Příspěvekod Invia » 7 months ago

Podle normise ve výše uvedeném topicu staci v ip services povolit jen vybrané IP.
0 x

mrazek609
Příspěvky: 167
Registrován: 7 years ago

Příspěvekod mrazek609 » 7 months ago

Koukal jsem na to a v mém případě to teda nestačilo.

ip service jsem měl u winboxu povolen jen LAN rozsah a jednu veřejnou IP z kanclu.
0 x

Dalibor Toman
Příspěvky: 1201
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 7 months ago

mrazek609 píše:Koukal jsem na to a v mém případě to teda nestačilo.

ip service jsem měl u winboxu povolen jen LAN rozsah a jednu veřejnou IP z kanclu.


btw: protoze zatim vsechny vypisy, co jsem videl obsahovaly jednu konkretni IP adresu v logu uspesneho prihlaseni, vubec bych se nedivil, kdyby dusledkem toho utoku bylo, ze se zaloguje jako zdroj tahle konkretni IP adresa ackoliv zdroj utoku prisel jinudy - treba z tech povolenych siti v services
0 x

mrazek609
Příspěvky: 167
Registrován: 7 years ago

Příspěvekod mrazek609 » 7 months ago

Konkrétně za tímto napadeným routerem jsou z LAN strany jen 3 IP kamery Hikvision a 1x NAS synology.
Moc se mi nezdá, že by to šlo přes povolené rozsahy. Ale už bych se nedivil ničemu :)
0 x

Uživatelský avatar
honzam
Příspěvky: 5105
Registrován: 11 years ago

Příspěvekod honzam » 7 months ago

mrazek609 píše:Konkrétně za tímto napadeným routerem jsou z LAN strany jen 3 IP kamery Hikvision a 1x NAS synology.
Moc se mi nezdá, že by to šlo přes povolené rozsahy. Ale už bych se nedivil ničemu :)


V tvém případě to vypadá prostě na WAN útok. A IP services to nechrání...
0 x

Uživatelský avatar
Insider
Příspěvky: 2204
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod Insider » 7 months ago

Můžu poprosit od zdrojovou IP adresu ?
0 x
Michal Peterka, KPE spol. s r.o.
V Hůrkách 1, Praha5 Nové Butovice, Tel: 242498100, 777208819
http://pojitko.cz

Uživatelský avatar
goblajz
Příspěvky: 815
Registrován: 11 years ago
antispam: Ano

Příspěvekod goblajz » 7 months ago

What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;
0 x

Uživatelský avatar
Insider
Příspěvky: 2204
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod Insider » 7 months ago

goblajz píše:What''s new in 6.43rc4 (2018-Apr-23 10:59):

!) winbox - fixed vulnerability that allowed to gain access to the unsecured router;


Představa, že si na Core nabliju RC mě dost Děsí.. Toraději změnim port Winboxu :)
0 x
Michal Peterka, KPE spol. s r.o.
V Hůrkách 1, Praha5 Nové Butovice, Tel: 242498100, 777208819
http://pojitko.cz


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Misho a 10 hostů