MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
mpcz
Příspěvky: 2035
Registrován: 12 years ago

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod mpcz » 1 month ago

To asi nebude, jen se mi nechtělo strkat takovou potvoru do vlastích IP, když ani přesně nevíme, co to umí. Raději si počkám na nějaký vzorek odjinud.
Jen pro zajímavost, systém skenovaní se od minula změnil. Adresy to zdá se vybírá náhodně. Možná jiná verze.
Mimochodem, nemůžu se vyznat v tom torchu, co je zdrojová a co cílová adresa. Někdy mi to sedí, někdy se mi to zdá naopak. A dá se vypnout ten překlad čísel portů na názvy? mpcz, 1.7.2018


torch_útok_2.jpg
torch_útok_2.jpg (63.68 KiB) Zobrazeno 1177 x
0 x

pavel1tu
Příspěvky: 19
Registrován: 3 months ago

Příspěvekod pavel1tu » 1 month ago

Pročíst toto téma byl výkon, stejně nejsem moudrý, tak se raději optám.

1) Mám zakázané všechny přístupy administrace mimo Winboxu (ano jsem LAMA co jej používá, tedy terminál v něm)
2) Winbox - mám nastavený jiný port
3) MT má z WAN dropnutý INPUT na portu 8291 (házím to i do AdresListu na 48h abych mněl seznam IP)

Dá se říci, že jsem udělal maximum pro zabezpečení proti tomu viru či co to je ?

Děkuji

PS: A je jisté, že ty zařízení co mne očuchávají na tom portu 8291 jsou nakažená ? Nebo je to normální vlastnost Mikrotiku že hledá po síti další MT ?
0 x
Vím co je proud a napětí. Tudíž tuším co je "1" a co "0".
Přečetl jsem si co je TCP/IP na wiki.
Tak berte mé příspěvky podle toho :-)

Noxus28
Příspěvky: 291
Registrován: 6 years ago

Příspěvekod Noxus28 » 1 month ago

1- asi myslíš IP services :)
A máš ten zmenený port winboxu dropnutý z WAN? ak áno a nemáš tam nejaký ďalší mikrotik v LAN na ktorý je možnosť sa dostať cez DST-nat tak by si mal byť aspoň pred doterajšími hrozbami v suchu.

port 8291 zdravý mikrotik sám od seba neskenuje.
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

Uživatelský avatar
hapi
Příspěvky: 11292
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 1 month ago

pavel1tu píše:Pročíst toto téma byl výkon, stejně nejsem moudrý, tak se raději optám.

1) Mám zakázané všechny přístupy administrace mimo Winboxu (ano jsem LAMA co jej používá, tedy terminál v něm)
2) Winbox - mám nastavený jiný port
3) MT má z WAN dropnutý INPUT na portu 8291 (házím to i do AdresListu na 48h abych mněl seznam IP)

Dá se říci, že jsem udělal maximum pro zabezpečení proti tomu viru či co to je ?

Děkuji

PS: A je jisté, že ty zařízení co mne očuchávají na tom portu 8291 jsou nakažená ? Nebo je to normální vlastnost Mikrotiku že hledá po síti další MT ?


hezký hezký ale kde máš upgrade mikrotiku na last verzi?
0 x

basty
Příspěvky: 1645
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod basty » 1 month ago

trochu OT, ale da se nastavit v dude jiny vychozi port na winbox? V souvislosti s touto kauzou?
0 x

pavel1tu
Příspěvky: 19
Registrován: 3 months ago

Příspěvekod pavel1tu » 1 month ago

hapi píše:
hezký hezký ale kde máš upgrade mikrotiku na last verzi?


OK,
Mikrotik mám asi 2 měsíce, samozřejmě poslední verzi mám,
také "admin" zrušen + nový uživatel s tvrddým heslem,
hesla nikam neukládám,
a tak dále ...
0 x
Vím co je proud a napětí. Tudíž tuším co je "1" a co "0".
Přečetl jsem si co je TCP/IP na wiki.
Tak berte mé příspěvky podle toho :-)

ludvik
Příspěvky: 3783
Registrován: 7 years ago

Příspěvekod ludvik » 1 month ago

Vzhledem k tomu, že všichni tvrdí, že problém s winboxem vznikl v 6.29 - a přitom prokazatelně existuje i v 6.28, tak bůhvíkolik bordelu tam ještě někdo objeví.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

whef
Příspěvky: 704
Registrován: 10 years ago

Příspěvekod whef » 1 month ago

Tak tu máme nový den a nový průnik, byla to tedy starší verze MK 6.38 chystal jsem se k Upgradu. Nelze nahrát novější verzi MK, pokusy o přehrání to všechny smaže.
0 x

Zsir
Příspěvky: 23
Registrován: 3 years ago

Příspěvekod Zsir » 1 month ago

Ono těch dir tam bude více. Akorát to do teď nikoho moc nezajímalo.

Hlavně zabezpečit MikroTiky co mají veřejky.
0 x

whef
Příspěvky: 704
Registrován: 10 years ago

Příspěvekod whef » 1 month ago

Otázka je, jak zabezpečit. Měníme hesla dáváme nové MK, všechny porty byli zakázány, dohled jen z lokalu, ale pokud se infikuje nějaký počítač tak je to stejně v háji.
0 x

Dalibor Toman
Příspěvky: 1151
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 1 month ago

ludvik píše:Vzhledem k tomu, že všichni tvrdí, že problém s winboxem vznikl v 6.29 - a přitom prokazatelně existuje i v 6.28, tak bůhvíkolik bordelu tam ještě někdo objeví.

muzu potvrdit, ze v 6.28 lze zjistit hesla.
0 x

Uživatelský avatar
hapi
Příspěvky: 11292
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 1 month ago

Dalibor Toman píše:
ludvik píše:Vzhledem k tomu, že všichni tvrdí, že problém s winboxem vznikl v 6.29 - a přitom prokazatelně existuje i v 6.28, tak bůhvíkolik bordelu tam ještě někdo objeví.

muzu potvrdit, ze v 6.28 lze zjistit hesla.


jistě, ale jedna cesta je winbox a druhá web a každá byla jindy a opravena jindy.
0 x

Dalibor Toman
Příspěvky: 1151
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 1 month ago

hapi píše:
Dalibor Toman píše:
ludvik píše:Vzhledem k tomu, že všichni tvrdí, že problém s winboxem vznikl v 6.29 - a přitom prokazatelně existuje i v 6.28, tak bůhvíkolik bordelu tam ještě někdo objeví.

muzu potvrdit, ze v 6.28 lze zjistit hesla.


jistě, ale jedna cesta je winbox a druhá web a každá byla jindy a opravena jindy.

rec byla o winbox vulnerability a oficialne vypustene informaci, ze problem vznikl v 6.29. Proc pises o Chimay-Red netusim..
0 x

ludvik
Příspěvky: 3783
Registrován: 7 years ago

Příspěvekod ludvik » 1 month ago

Zkus si jeden z těch python scriptů, na které jsi sám sem dával odkazy.
hapi píše:
Dalibor Toman píše:
ludvik píše:Vzhledem k tomu, že všichni tvrdí, že problém s winboxem vznikl v 6.29 - a přitom prokazatelně existuje i v 6.28, tak bůhvíkolik bordelu tam ještě někdo objeví.

muzu potvrdit, ze v 6.28 lze zjistit hesla.


jistě, ale jedna cesta je winbox a druhá web a každá byla jindy a opravena jindy.
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

mpcz
Příspěvky: 2035
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

Zdravím,
vracím se k zásadní otázce: jak poznat, že mikrotik je čistý. To je totiž v okamžiku upgradování dost důležitá informace neboť jinak projížďka. Mám tu stroj, který jsem si nechal nakazit a nic na něm není vidět. Po zjištění hesla a vlomení do systému vidím normální obsah, který se nijak neliší od standardu. Vidět je pouze chrlení a to jen občas a abnormální zátěž CPU, přitom na LANce není nic. Takže zbývá ta "tajná", druhá partition. Ať se tím nemusím trápit: jak ji v tom BUSYBOXU nejlépe odhalit? Příkazy jsou totiž značně osekané, mé znalosti LINUXu ubohé. Mimochodem, s tím BusyBoxem je to nějaké divné, ať měním zdrojový soubor pro exploit jak chci, v Mikrotiku je stále stejná verze BB 1.0 s osekanými příkazy. Takový FDISK (nebo něco podobného) by se šikl. Nebo je to tak, že už v ROSu Busybox je a nejde přepsat, když běží? mpcz, 02.jul.2018
Naposledy upravil(a) mpcz dne 02 Jul 2018 20:17, celkem upraveno 1 x.
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 7 hostů