MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
mpcz
Příspěvky: 2250
Registrován: 12 years ago

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod mpcz » 1 week ago

Tak to netuším. Ale když si přehodíš tunely na jiný port, tak budeš mít od těch hlášek v logu pokoj. mpcz, 06.nov.2018
0 x

Matony
Příspěvky: 4
Registrován: 8 years ago
antispam: Ano
Kontaktovat uživatele:

Příspěvekod Matony » 1 week ago

Ahoj kolegové,
před několika dny se mi dostal do rukou na analýzu MT, kterému se záhadně změnili porty služeb na 65000. Vzhledem k děravé verzi a diletantské konfiguraci jsem to nepovažoval za nic divného.. Dnes jsem ale zbystřil, můj honeypot totiž dopadl stějně :-D. Rád bych se tedy podělil o informace..

ROS v6.42.7, defaultní konfigurace, veřejná IP

/ip service
set telnet port=65001
set ftp port=61000
set www disabled=yes port=65003
set ssh disabled=yes port=62000
set www-ssl port=65002
set api port=64000
set winbox port=65000
set api-ssl port=63000


Daleko zajímavější je "těžební" konfigurace firewallu, viz příloha.. Máte někdo podobnou zkušenost ? :-)
firewall.zip
(498 bajtů) Staženo 109 x
0 x

K3NY
Příspěvky: 214
Registrován: 2 years ago

Příspěvekod K3NY » 1 week ago

Matony píše:Ahoj kolegové,
před několika dny se mi dostal do rukou na analýzu MT, kterému se záhadně změnili porty služeb na 65000. Vzhledem k děravé verzi a diletantské konfiguraci jsem to nepovažoval za nic divného.. Dnes jsem ale zbystřil, můj honeypot totiž dopadl stějně :-D. Rád bych se tedy podělil o informace..

ROS v6.42.7, defaultní konfigurace, veřejná IP

/ip service
set telnet port=65001
set ftp port=61000
set www disabled=yes port=65003
set ssh disabled=yes port=62000
set www-ssl port=65002
set api port=64000
set winbox port=65000
set api-ssl port=63000


Daleko zajímavější je "těžební" konfigurace firewallu, viz příloha.. Máte někdo podobnou zkušenost ? :-)
firewall.zip

jj jeste se koukni do snifferu tam asi taky najdes prekvapeni
0 x

SpeedyGT
Příspěvky: 100
Registrován: 4 years ago

Příspěvekod SpeedyGT » 1 week ago

Světem evidentně koluje seznam provařených hesel, ale zajímavé je, že se to láme do Mikrotiků přes api i přes to, že api je povolena jenom z jedné veřejné a z té se to tam podle logů vůbec nepřihlašovalo. Včera cca v 19h nám to začlo běhat v síti.

Co to podle logu dělá:
- Uzavře to všechny services, akorát povolí SSH na portu 22 z 0.0.0.0/0
- Povolí to http-proxy
- Povolí to socks
0 x

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 1 week ago

SpeedyGT píše:Světem evidentně koluje seznam provařených hesel, ale zajímavé je, že se to láme do Mikrotiků přes api i přes to, že api je povolena jenom z jedné veřejné a z té se to tam podle logů vůbec nepřihlašovalo. Včera cca v 19h nám to začlo běhat v síti.

Co to podle logu dělá:
- Uzavře to všechny services, akorát povolí SSH na portu 22 z 0.0.0.0/0
- Povolí to http-proxy
- Povolí to socks

Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018
0 x

SpeedyGT
Příspěvky: 100
Registrován: 4 years ago

Příspěvekod SpeedyGT » 1 week ago

mpcz píše:Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

Cíleně se nám tam připojili úspěšně userové bez jakýchkoliv předešlých brute-force ťukanců a rovnou i na api, které bylo omezené na jednu konkrétní IP uvedenou v services. Krom toho to pak ještě zkoušelo loginy, které jsme dříve používali, žádné jiné to ani nezkoušelo. Šlo to prostě najisto. IPečka odkud to tam bouchalo jsou různě ze světa - Indie, Argentina, Ekvádor atd...
0 x

Dalibor Toman
Příspěvky: 1200
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 1 week ago

SpeedyGT píše:
mpcz píše:Co tím prosím chceš říci, že "světem evidentně koluje seznam provařených hesel"? Dík, mpcz, 8.nov.2018

Cíleně se nám tam připojili úspěšně userové bez jakýchkoliv předešlých brute-force ťukanců a rovnou i na api, které bylo omezené na jednu konkrétní IP uvedenou v services. Krom toho to pak ještě zkoušelo loginy, které jsme dříve používali, žádné jiné to ani nezkoušelo. Šlo to prostě najisto. IPečka odkud to tam bouchalo jsou různě ze světa - Indie, Argentina, Ekvádor atd...


jinymi slovy rikas, ze z tech tisicu provarenych hesel vybrali napoprve to Vase a pripojili se s nim na sluzbu, ktera z jejich IP nemela pripojeni povolit? Skutecny scenar pruniku byl asi jiny...
0 x

Uživatelský avatar
honzam
Příspěvky: 5063
Registrován: 11 years ago

Příspěvekod honzam » 1 week ago

Tak asi v tom seznamu bude kolovat heslo-IP adresa. Pak není problém se tam lognout ne?
Pokud ovšem v IP services máš povolenou jen jednu IP tak z jaké IP se ti tam logli? Z té tvojí jediné povolené?
0 x

SpeedyGT
Příspěvky: 100
Registrován: 4 years ago

Příspěvekod SpeedyGT » 6 days ago

Ne přihlášení bylo uplně přes jinou IP než která byla v services jako jediná přístupná pro api. Bude to asi krapet děravý jinak si to neumím vysvětlit.

Jaký scénář průniku...kdyby to byl nějaký ferda co chce pořádně škodit tak tam nezapíná zase proxyny ale shodí to trošku jiným způsobem.
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1503
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 6 days ago

Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.
Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.
Vše ok.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

SpeedyGT
Příspěvky: 100
Registrován: 4 years ago

Příspěvekod SpeedyGT » 6 days ago

sub_zero píše:Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.
Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.
Vše ok.

Taky jsme to u jednoho RB potřebovali a tahle metoda funguje dobře👌
0 x

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 6 days ago

Zveřejňování informací tohoto typu může být dle mého soudu velmi nerozumné + nebezpečné i pro samotného autora takovéto informace. Jen upozorňuji, že Sergej v nových verzích již ukládá hesla (po mnoha letech) v šifrovaném tvaru, takže se to záškodníkovi zase ztíží. mpcz, 9.nov.2018
0 x

basty
Příspěvky: 1733
Registrován: 13 years ago
Kontaktovat uživatele:

Příspěvekod basty » 6 days ago

sub_zero píše:Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.
Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.
Vše ok.


ale nad 6.43 by tojle jit uz nemelo.
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1503
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 6 days ago

mpcz píše:Zveřejňování informací tohoto typu může být dle mého soudu velmi nerozumné + nebezpečné i pro samotného autora takovéto informace. Jen upozorňuji, že Sergej v nových verzích již ukládá hesla (po mnoha letech) v šifrovaném tvaru, takže se to záškodníkovi zase ztíží. mpcz, 9.nov.2018


rozvěď to - co je na to nerozumného a nebezpečného?
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

Uživatelský avatar
sub_zero
Příspěvky: 1503
Registrován: 13 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 6 days ago

basty píše:
sub_zero píše:Možná to někdo zkoušel, pokud ano, tak se omlouvám za duplicitu.

Potřeboval jsem zachovat cfg v jednom z hacknutých MK 6.42.7 (2011), Netinstall samozřejmě při zaškrtnutí "Keep Config" zachová i původní heslo.
Tak jsem zkusil Netinstallem flashnout starší verzi (6.40.2) a následně WinboxExpoitem jsem vyčetl to heslo a přihlásil.
Vše ok.


ale nad 6.43 by tojle jit uz nemelo.


nezkoušel jsem, všechny hacknutý MK byly 6.42.7.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: elmor a 3 hosti