MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
skripek
Příspěvky: 26
Registrován: 4 years ago

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod skripek » 2 months ago

sutrus píše:pavel1tu: to je obecná poučka jak zabezpečit zařízení z internetu. Zařízení píši záměrně protože to neplatí pouze pro mikrotik.
skripek: pokud někdo opravdu zná způsob ja zjistit heslo a je solidní, tak se stejně neozve. Vyřeší vše v tichosti s výrobcem. To je běžná praxe.


V tom případě pokud to někdo tady na fóru ví tak může aspoň napsat:"Dostal jsem se MK i přes nejnovější update, už to řeším s výrobcem" , protože v tomto vlákně jsem se už ztratil jak Karkulka v lese....
0 x


Uživatelský avatar
nofu
Příspěvky: 8
Registrován: 2 years ago

Příspěvekod nofu » 2 months ago

Zdravím,
teď se mi taky dostal jeden asi napadenej tik do ruky. Vše nasvědčuje tomu, že v něm byl, možná ještě je ROS 5.26 => jasný, chyba. Po pročtení celého vlákna a odkazů na githubu nechápu, jak se do něj dostali. Pokud jsem pochopil správně, tak WinBoxExploit funguje od verze 6.29 do 6.42 a Chimay-Red podle PDF od CIA od 6.x do 6.38.4. Navíc si nejsem jist, zda nemusí být zapnutý WebFig (byl a je vypnutý). Heslo bylo jedinečné, tipuji tedy brutal force. Bohužel jsem spíš uživatelská lama, takže se můžu mejlit či nemusím chápat všechny souvislosti, prosím, opravte mě.

Problém je, že bych z něj celkem nutně potřeboval dostat routovací tabulku (či jak se tomu odborně říká). Napadá někoho nějakej způsob, jak jí získat? Bylo by třeba možné ten router resetnout tlačítkem, s tím, že on uloží konfiguraci před resetem do backupu a ten pak dekódovat? Není nějaká zranitelnost pro takto staré ROS, kterou jsem přehlédnul? Nenapadá vás nějaké elegantnější řešení?

EDIT: tak po průzkumi se jeví varianta resetu a dekódování backupu jako neprůchozí, také potřebuje heslo :(
0 x

Uživatelský avatar
honzam
Příspěvky: 5118
Registrován: 11 years ago

Příspěvekod honzam » 2 months ago

nofu píše:po průzkumi se jeví varianta resetu a dekódování backupu jako neprůchozí, také potřebuje heslo :(

https://www.mikrotikpasswordrecovery.net/
0 x

mpcz
Příspěvky: 2311
Registrován: 13 years ago

Příspěvekod mpcz » 2 months ago

to Nofu: Co to je za stroj? CPU? FLASHka? Pokud vyčerpáš všechny pokusy bez výsledku a bude ti to stát za to, pošli mi to, zkusím ti pomoci. Na BF moc nevěřím. mpcz, 1.okt.2018
0 x

Uživatelský avatar
nofu
Příspěvky: 8
Registrován: 2 years ago

Příspěvekod nofu » 2 months ago

honzam píše:https://www.mikrotikpasswordrecovery.net/

Na to jsem koukal, ale pokud to dobře chápu, pak je to pro tiky s firmware 6.13+, tenhle má nejspíš 5.26, nejsem si ale jist.

mpcz píše:to Nofu: Co to je za stroj? CPU? FLASHka? Pokud vyčerpáš všechny pokusy bez výsledku a bude ti to stát za to, pošli mi to, zkusím ti pomoci. Na BF moc nevěřím. mpcz, 1.okt.2018
Je to prosté RB951G-2HnD. V noci jsem zkoušel obě známé zranitelnosti, bez úspěchu. WinBoxExploit vrací IP adresu a Chimay-Red je podle mě bez šance, když je vypnutý WebFig. Odkud jsi?

btw. dá se nějak zjistit, taká je v tom teď verze ROS?
0 x

mpcz
Příspěvky: 2311
Registrován: 13 years ago

Příspěvekod mpcz » 2 months ago

to Nofu: Pokud vyčerpáš všechny pokusy bez výsledku a bude ti to stát za to, pošli mi to, zkusím ti pomoci. Večer pošleš, ráno to mám. mpcz, 1.okt.2018
0 x

jirson
Příspěvky: 61
Registrován: 11 years ago

Příspěvekod jirson » 2 months ago

myslím si své a at je to cokoliv, vulgarity jsem nepatří a kolega hapi3 by se měl krotit

sorry za OT
0 x
ucenej z nebe nespadl....

FAny1000
Příspěvky: 126
Registrován: 12 years ago
Bydliště: nymburk
Kontaktovat uživatele:

Příspěvekod FAny1000 » 2 months ago

Po dovolene jsem přijel a mám bloklé hraniční MK , VPN tunely běží ale původní hesla k MK ne. Je nějaká pomoc ? nebo prostě tvrdý reset a vše znovu včetně konfigurace ?

Děkuji za rady
0 x
Nemám rád INTERNET................. :-)

Daxxim
Příspěvky: 347
Registrován: 6 years ago
Kontaktovat uživatele:

Příspěvekod Daxxim » 2 months ago

FAny1000 píše:Po dovolene jsem přijel a mám bloklé hraniční MK , VPN tunely běží ale původní hesla k MK ne. Je nějaká pomoc ? nebo prostě tvrdý reset a vše znovu včetně konfigurace ?

Děkuji za rady


Jaké verze ROSu tam jsou? SSH či telnet jsi zkoušel?
0 x

FAny1000
Příspěvky: 126
Registrován: 12 years ago
Bydliště: nymburk
Kontaktovat uživatele:

Příspěvekod FAny1000 » 2 months ago

6.42 telnet ani ssh nejede , divne je ze ispadmin hlasi ssh v pohode :-( nejakej bordel to je
0 x
Nemám rád INTERNET................. :-)

puchnar
Příspěvky: 120
Registrován: 2 years ago

Příspěvekod puchnar » 2 months ago

pokud admin hlási ssh v pohodě, zkus se schovat za ip admina a z té se přihlásit na ssh :D
0 x

roman.wifi@post.sk
Příspěvky: 136
Registrován: 10 years ago

Příspěvekod roman.wifi@post.sk » 2 months ago

Tak moja skusenost je asi nasledovna:
Pred par dnami som zistil, ze mam vir v MK strojoch. Zistil som to tak, zemi klienti volali, ze im eset hlasi upozorneni, pripadne, ze maju zbrdeny net.
Pri prihlaseny do zavireneho MK, boli tieto ip v DNS:94.247.43.254,107.172.42.186,128.52.130.209,163.53.248.170,185.208.208.141 a scripti, pravidla v Shedulery a par pravidiel naviac. Verzia MK 6.34.6 port winboxu 8291 a pristup admin. Vir som nasiel i na verzii 6.36.3. Jedna sa zatial o Mikrotiky, ktore mali verejnu IP adresu. Cize s toho usudzujem, ze Vir, prisiel z netu a to cez port 8291 a admin .

Zaujimave je ze, stare verzie som zatial nenasiel napadnute MK 5.26, pricom ma 8291 port a pre pristup admin. Co som zistil, ze zavireny MK, odhaluje i ostatne ucty,.ako marecek, lenicka,.atd. Ak uz tam je, tak ziskava hesla. Dlho som premyslal, ako odhalil zavireny pristroj. Tak idem najskor cez www rozharnie sa don dostat a ked mi ESET zahlasi, ze Adresa bola blokovana. Tak viem, ze tam je virus. Adresa je https://www.jshosting.date./bOUb.js a IP: 212.32.255.7

Zatial som nenasiel v sieti stroj kde som mal zmeneny port winboxu i ked som tam mal uzivatela admin. Moj odhad, teda je, ze vir prisiel z netu a to stroja cez port 8291 a zameral sa na uzivatela admina.

Zatial sa s tym virum len zoznamujem, a cital som tu len asi 20stran, ale, ako zistujem, niektore su tu bludy a niektore pravdive. Normalneho cloveka, ako som bol ja, tak nevie, co ma robit ako prve atd.

Cize, by som odporucil, tym, ktorym sa nechce citat 40stran a potom si vybrat co je pravda a co nie, tak v prvom rade:
1/ zmenit verziu na 6.42.9, alebo 6,43,2
2/ zmenit port winboxu 8291 na iny
3/ a nasledne zmenit hesla, stym, ze admin uzivatel tam nesmie byt.

Tym, kto mi poradili pri kontakte s virom, velmi pekne dakujem. Jedna sa o dvoch ludi :), DAKUJEM.
0 x

Petr Bačina
Příspěvky: 1047
Registrován: 4 years ago
Bydliště: Horní Slavkov
Kontaktovat uživatele:

Příspěvekod Petr Bačina » 2 months ago

Předpokládám, že máte klienty na veřejkách za nějakým ze svých mikrotik GW....

Do FW na GW, nepouštět nic z toho na klienty a hotovo. GW aktualizovanou, DROP všeho co na ní přijde v Inputu, včetně zakázání pingu.

Kód: Vybrat vše

28    ;;; Povolen  odpov di ICMP z netu
      chain=forward action=accept connection-state=established protocol=icmp
      in-interface=ether2 log=no log-prefix=""

29    ;;; Povolen  odpov di ICMP z netu
      chain=forward action=accept connection-state=related protocol=icmp
      in-interface=ether2 log=no log-prefix=""

31    ;;; Povolen  vy  dan ho ICMP pingu na GW

      chain=input action=accept connection-state=established protocol=icmp
      in-interface=ether2 log=no log-prefix=""

33    ;;; Drop ICMP ping z netu do s t

      chain=forward action=drop protocol=icmp
      src-address-list=!ftp_ssh_telnet_povoleno in-interface=ether2 log=no
      log-prefix=""

34    ;;; Povolen  vy  dan  komunikace do vnit n  s t
      chain=forward action=accept connection-state=established protocol=tcp
      in-interface=ether2 dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no
      log-prefix=""

35    ;;; Povolen  vy  dan  komunikace do vnit n  s t
      chain=forward action=accept connection-state=established protocol=udp
      in-interface=ether2 dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no
      log-prefix=""

36    ;;; DROP komunikace do vnit n  s t
      chain=forward action=drop protocol=tcp
      dst-address-list=!ftp_ssh_telnet_povoleno in-interface=ether2
      dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no log-prefix=""

37    ;;; DROP komunikace do vnit n  s t
      chain=forward action=drop protocol=udp
      dst-address-list=!ftp_ssh_telnet_povoleno in-interface=ether2
      dst-port=20,21,22,23,53,80,443,2000,8080,8291 log=no log-prefix=""


Počet napadených strojů? 0. Pokusů o průnik do sítě na 8291, 22,23 atd? Tisíce za sekundu.
2 x

roman.wifi@post.sk
Příspěvky: 136
Registrován: 10 years ago

Příspěvekod roman.wifi@post.sk » 2 months ago

Tomu verim. Treba hlavne nastavit pravidla na hlavnom servre, to spravit ako prve, nech sa zamedzi viru, co najviac.
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 7 hostů