Pokusy o přihlášení na Mikrotiky

Návody a problémy s konfigurací.
Uživatelský avatar
hapi
Příspěvky: 11182
Registrován: 10 years ago
Kontaktovat uživatele:

Re: Pokusy o přihlášení na Mikrotiky

Příspěvekod hapi » 2 months ago

přesně tak to je.
0 x

coolerman1
Příspěvky: 180
Registrován: 11 years ago

Příspěvekod coolerman1 » 2 months ago

preco mikrotik na svojich Demo kusoch ma aktualnz ROS a neaktualnz FW ? netreba ?
0 x

Uživatelský avatar
hapi
Příspěvky: 11182
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 2 months ago

co je demo kus?
0 x

Robotvor
Příspěvky: 681
Registrován: 8 years ago
antispam: Ano

Příspěvekod Robotvor » 2 months ago

Všiml si někdo hlášky v terminálu DEVICE HACKED - ACCOUNT admin HAD UNSAFE PASSWORD ?

Píše mě to v již aktualizovaném zařízení a docela mě to znepokojuje.
Přílohy
DEVICE HACKED.jpg
DEVICE HACKED.jpg (89.33 KiB) Zobrazeno 1229 x
0 x

Dalibor Toman
Příspěvky: 1135
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 2 months ago

Robotvor píše:Všiml si někdo hlášky v terminálu DEVICE HACKED - ACCOUNT admin HAD UNSAFE PASSWORD ?

Píše mě to v již aktualizovaném zařízení a docela mě to znepokojuje.


rekl bych, ze se tam prihlasil nejaky hacker dobrodej a takhle se snazi upozornit, ze heslo je malo bezpecne. Nastavil system note na "DEVICE HACKED ..."
1 x

coolerman1
Příspěvky: 180
Registrován: 11 years ago

Příspěvekod coolerman1 » 2 months ago

hapi píše:co je demo kus?

Myslel som mikrotik demo

http://demo.mt.lv
0 x

Uživatelský avatar
honzam
Příspěvky: 4903
Registrován: 11 years ago

Příspěvekod honzam » 2 months ago

Robotvor píše:Všiml si někdo hlášky v terminálu DEVICE HACKED - ACCOUNT admin HAD UNSAFE PASSWORD ?

Píše mě to v již aktualizovaném zařízení a docela mě to znepokojuje.

Tohle bych poslal na support ať se k tomu vyjádří
0 x

Kaja
Příspěvky: 352
Registrován: 12 years ago

Příspěvekod Kaja » 2 months ago

A k cemu se maji vyjadrovat. DaliborToman snad napsal jasne cim to je.
/system note set note=DEVICE NOT HACKED
Tim ze je to polozka v konfiguraci to pochopitene aktualizace ROSu nevymaze.

Snad jen vyjadreni k tomu, jestli tohle je jedna z veci kterou provadel ten script (a vetsina postizenych si toho jen nevsimla) nebo jestli to ma na svedomi nejkaky jiny hodny utocnik.

K.


honzam píše:
Robotvor píše:Všiml si někdo hlášky v terminálu DEVICE HACKED - ACCOUNT admin HAD UNSAFE PASSWORD ?

Píše mě to v již aktualizovaném zařízení a docela mě to znepokojuje.

Tohle bych poslal na support ať se k tomu vyjádří
0 x

Dalibor Toman
Příspěvky: 1135
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 2 months ago

chvili jsem si hral a overil jsem si, ze za urcitych okolnosti neni problem stahnout z MT, ktery ma starou verzi ROSu soubor s uzivateli a jejich hesly a dekodovat ho. Na netu se vali kod, ktery umi vyuzit chybu ve WWW serveru na mipsbe architekture (Chimay-red).
Temi urcitymi okolnostmi je krome splneni zrejmych veci - spustene ip services www, absence firewallu - jeste zrejme i to z jake rady je ROS - zda se, ze bugfix rada je z nejakych zahadnych duvodu proti tomu utoku imunni. Tedy verze, co maji privlastek bugfix. 6.30.4 je vedena v changelogu bugfixu ale nema ten privlastek primo ve verzi a hacknout se ji povedlo

Chimay-red byl zminovan hlavne ve spojitosti s infikovanim zarizeni, to ze jde pomoci nej precist mimo jine hesla uzivatelu mozna spouste lidem nedoslo...

Pokud programatori v MT byli schopni nekontrolovat delku dat prijimanych WEB serverem od klientu a dovolit tak prepsat lokalni bufer i za prostor jemu vyhrazeny, pak se da cekat, ze takovych uletu bude v ROSu jeste vic.
1 x

mpcz
Příspěvky: 1957
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

Zdravím, v poslední době se zaplňuje log na GW-jích podobnými záznamy. Může se prosím někdo, kdo se problémem "zavirování" blíže zabýval vyjádřit k tomu, jak to číst a jestli je třeba se tím zabývat, popř. jak? Děkuji, mpcz, 8.may.2018

may/07 05:43:47 pptp info TCP connection established from 113.96.223.207
may/07 05:43:47 pptp info TCP connection established from 113.96.223.207
may/07 05:43:47 pptp info TCP connection established from 113.96.223.207
may/07 05:43:47 pptp info TCP connection established from 113.96.223.207
may/07 05:43:47 pptp info TCP connection established from 113.96.223.207
may/07 05:43:49 pptp info TCP connection established from 113.96.223.207
may/07 05:43:49 pptp info TCP connection established from 113.96.223.207
may/07 05:43:49 pptp info TCP connection established from 61.166.192.164
may/07 05:44:48 pptp info TCP connection established from 113.0.39.6
may/07 05:44:48 pptp info TCP connection established from 101.24.131.171
may/07 05:44:49 pptp info TCP connection established from 125.84.183.108
may/07 05:44:50 pptp info TCP connection established from 223.166.244.3
may/07 05:44:51 pptp info TCP connection established from 117.13.170.89
may/07 05:44:52 pptp info TCP connection established from 123.245.88.229
may/07 05:44:54 pptp info TCP connection established from 125.84.178.162
may/07 05:44:55 pptp info TCP connection established from 175.152.33.45
may/07 05:44:55 pptp info TCP connection established from 60.1.130.170
may/07 05:44:56 pptp info TCP connection established from 61.166.192.193
may/07 06:35:56 pptp info TCP connection established from 18.197.148.122

apr/27 07:36:49 system error critical login failure for user test from 117.247.80.10 via ftp
apr/27 13:13:56 system error critical login failure for user www-data from 178.88.203.61 via ftp
apr/28 08:12:27 system error critical login failure for user anonymous from 14.139.159.99 via ftp

apr/28 09:17:36 system error critical login failure for user anonymous from 51.38.12.13 via ftp
apr/28 11:06:43 system error critical login failure for user user from 117.222.46.220 via ftp
apr/28 15:33:28 system error critical login failure for user ftp from 155.94.65.20 via ftp
apr/28 15:33:29 system error critical login failure for user anyone from 155.94.65.20 via ftp
apr/28 15:33:31 system error critical login failure for user user from 155.94.65.20 via ftp
apr/28 15:33:32 system error critical login failure for user test from 155.94.65.20 via ftp
apr/28 15:33:33 system error critical login failure for user user from 155.94.65.20 via ftp
apr/28 15:33:33 system error critical login failure for user default from 155.94.65.20 via ftp
apr/28 15:33:34 system error critical login failure for user test from 155.94.65.20 via ftp
apr/28 15:33:34 system error critical login failure for user read from 155.94.65.20 via ftp
apr/28 15:33:35 system error critical login failure for user default from 155.94.65.20 via ftp
apr/28 15:33:36 system error critical login failure for user read from 155.94.65.20 via ftp
apr/30 19:22:31 system error critical login failure for user anonymous from 91.121.116.128 via ftp
may/02 08:53:23 system error critical login failure for user www-data from 157.33.116.171 via ftp
may/03 19:41:20 system error critical login failure for user anonymous from 75.80.182.128 via ftp
may/04 03:55:30 system error critical login failure for user anonymous from 125.212.217.214 via ftp
may/04 10:31:35 system error critical login failure for user admin from 122.170.41.119 via ftp
may/05 04:02:20 system error critical login failure for user admin from 172.245.13.10 via web
may/05 04:02:20 system error critical login failure for user admin from 172.245.13.10 via web
may/05 04:02:21 system error critical login failure for user admin from 172.245.13.10 via web
may/05 04:02:22 system error critical login failure for user admin from 172.245.13.10 via web
may/05 04:02:22 system error critical login failure for user admin from 172.245.13.10 via web
may/05 15:29:19 system error critical login failure for user anonymous from 109.64.64.72 via ftp
may/05 18:47:59 system error critical login failure for user admin from 213.183.51.130 via web
may/05 18:47:59 system error critical login failure for user admin from 213.183.51.130 via web
may/05 18:47:59 system error critical login failure for user admin from 213.183.51.130 via web
may/05 18:48:00 system error critical login failure for user admin from 213.183.51.130 via web
may/05 18:48:00 system error critical login failure for user admin from 213.183.51.130 via web

may/06 23:51:20 system error critical login failure for user anonymous from 71.6.167.142 via ftp
may/07 10:00:37 system error critical login failure for user www-data from 157.49.14.240 via ftp
0 x

Dalibor Toman
Příspěvky: 1135
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 2 months ago

DD,

nevim, co chces slyset. Skeny jsou a budou. Pokud ma neco verejnou IP a neni chraneno firewallem, tak se vzdycky najde neco/nekdo, kdo se na to pokusi pripojit. Nic konkretniho se z tech pokusu o prihlaseni, vykoukat neda. Krome toho, ze ty pokusy o prihlaseni jsou neuspesne a jake Ti bezi sluzby. K PPTP nevim, co rict - nepouzivam nevim jak se chova. Pruniky (Chimay-red) se v logu neobjevi = z logu se nedozvis, ze se nekdo proboril dovnitr. Pokud mas ROS ve stare verzi pak zalezi na jeke platforme ten ROS bezi. K X86 a misbe jsou k mani exploity, takze pokud mas neco z toho tak uz jsi mel nezvanou navstevu. U ostatnich architektur je IMHO sance na prunik mensi ale sazet se na to asi nevyplati.
Na MT GW IMO nema co delat zaply www/www-ssl a ani FTP. Pokud je potrebujes, tak jen pro vymezeny rozsah IP - to samozrejme plati i pro ostatni sluzby
0 x

Noxus28
Příspěvky: 289
Registrován: 6 years ago

Příspěvekod Noxus28 » 2 months ago

JJ ako bolo spomenuté pokiaľ je možnosť všetky služby z WAN zakázať a nie len v services / povolené IP ale na tvrdo firewall pravidlom. Prípadne povoliť len z adries o ktorých vieš že to potrebuješ. Hlavne momentálne pozor na winbox
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

mpcz
Příspěvky: 1957
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

to DT: dík, třeba toto. Z toho je nejdůležitější poznatek, že průnik není zalogován. Vůbec nijak? A co mi není jasné, je stav, kdy před vypuknutím aféry BYLA verze 6.35, pak jsem dal 6.4x. Dá se spolehlivě určit, jestli byl před upgrade RB nebo X86 napaden/prolomen, jestli upgrade ROSu všechny skryté úpravy "virem" zlikvidoval, popř. jak spolehlivě identifikovat pozůstatky z "viru" v systému po upgrade, popř. jeho stále aktivní části. A je už někomu známo/tuší, co vlastně má "vir" za cíl? Jak řeší upgrade ROS ti, co mají veřejku na RB 532 atd., pro kteréžto RB není pokračování ROS? Je toho hodně, že .. Děkuji, mpcz, 8.may.2018
0 x

Uživatelský avatar
Myghael
Příspěvky: 986
Registrován: 6 years ago

Příspěvekod Myghael » 2 months ago

RB133, RB532, RB532A a podobné historické kousky ještě v provozu potkávám, ale jako bránu do internetu už to dnes (snad) nikdo nepoužívá. Pokud ano, zřejmě o důvod víc k upgradu, přinejmenším na RB433AH, ne-li rovnou na něco aktuálního. Ti co chtějí prkno s 3+ ethernety a kartou/kartama si můžou koupit RouterBoard M33G, po všech ohledech plnohodnotný routerboard klasické koncepce (holá deska s ethernet porty a sloty na karty).
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

mpcz
Příspěvky: 1957
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

A RB600, na který se mi nikdy nepodařilo instalovat/provozovat ROS 6.xx bez problémů? A co RB532 u klienta s věřejkou? Není to to stejné? Dík, mpcz 9.may.2018
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 3 hosti