MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
mpcz
Příspěvky: 2250
Registrován: 12 years ago

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod mpcz » 1 month ago

No právě proto, že to nikdo neví, je Netinstall dobré řešení. Pokud je konfigurace jednoduchá, je lepší nastavit to znovu manuálně. Kdo se umí v konfiguraci exportu orientovat, může si ho před Netinstallem vyexportovat, projít okometricky a vyházet podezřelé operace. Pak ho po Netinstallu nacucnout znovu. Pak vypnout všechny nepotřebné služby a u těch používaných přehodit čísla portů. Nakonec pustit utilitu kontrolující scanování portů útočníkem. To je dle mého nejjednodušší řešení, které pokryje většinu pilně a neúnavně pracujících robotů. mpcz, 16/10/2018
2 x

dvcompt
Příspěvky: 89
Registrován: 11 years ago

Příspěvekod dvcompt » 1 month ago

Děkuji za info. Mě bohužel rozpojil pptp tunel a není možné ho znovu spojit.
0 x

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

A co z toho plyne? Že rozpojil tunel. mpcz, 16/10/2018
0 x

rsaf
Příspěvky: 811
Registrován: 12 years ago

Příspěvekod rsaf » 1 month ago

PPTP tunel nejspíš rozpojil proto, že tam využívají pro přístup i PPTP server, případně to mohla shodit nějaká firewallová pravidla co se tam nasypala.

Jinak souhlasím s tím, že netinstall a nová konfigurace je nejjistější řešení, jak se marastu zbavit.
1 x

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

No jistě, ale jaký to má vliv na další postup očisty? mpcz, 16/10/2018
0 x

mladas
Příspěvky: 146
Registrován: 9 years ago
antispam: Ano

Příspěvekod mladas » 1 month ago

mpcz píše:No právě proto, že to nikdo neví, je Netinstall dobré řešení. Pokud je konfigurace jednoduchá, je lepší nastavit to znovu manuálně. Kdo se umí v konfiguraci exportu orientovat, může si ho před Netinstallem vyexportovat, projít okometricky a vyházet podezřelé operace. Pak ho po Netinstallu nacucnout znovu. Pak vypnout všechny nepotřebné služby a u těch používaných přehodit čísla portů. Nakonec pustit utilitu kontrolující scanování portů útočníkem. To je dle mého nejjednodušší řešení, které pokryje většinu pilně a neúnavně pracujících robotů. mpcz, 16/10/2018


Mozna jsem Lama ale jak netinstalem vyexportuju konfiguraci? Nikde jsem to tam nenasel, Diky
0 x

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 1 month ago

Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018
0 x

Dalibor Toman
Příspěvky: 1200
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 4 weeks ago

dvcompt píše:ahoj všem, pochopil jsem správně že zbavit se toho zas... malware pomůže pouze upgrade přeš netinstall?
smazání scriptů a filtrů není řešení?
díky

zatim vsechno resim jen desinfekci (skripty, scheduler, files) a vypnutim/opravou pozapinanych sluzeb (DNS vcetne allow remote requests, SOCKS, WebProxy) a opravou users a ip services a firewall. Pak upgrade ROSu.
Jedna vec je dostat se do MT ziskanim hesel druha je jailbreak, kdy utocnik muze instalovat sve binarky. A dalsi level je mit binarky tak, aby je upgrade nesmazal. Vetsine utocniku IMHO nestoji za to venovat tu spoustu casu k tomu, aby mely pristup primo k linuxovemu systemu v ROSu
Zatim jsem nepotkal nic, co by presilo desinfekci a upgrade.
0 x

Dalibor Toman
Příspěvky: 1200
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 4 weeks ago

mpcz píše:Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018


/export compact

vypise jen casti CFG , ktere se lisi od defaultni CFG. Takze je toho mnohem min nez plna cfg a lip se v tom hleda
0 x

mirek.k
Příspěvky: 610
Registrován: 10 years ago

Příspěvekod mirek.k » 4 weeks ago

Dalibor Toman píše:
mpcz píše:Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018


/export compact

vypise jen casti CFG , ktere se lisi od defaultni CFG. Takze je toho mnohem min nez plna cfg a lip se v tom hleda

Dnes už je "compact" zapnuto defaultně.
0 x

Dalibor Toman
Příspěvky: 1200
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 4 weeks ago

mirek.k píše:Dnes už je "compact" zapnuto defaultně.


aha, dik. Stary pes a stary kousky :-)
0 x

mladas
Příspěvky: 146
Registrován: 9 years ago
antispam: Ano

Příspěvekod mladas » 4 weeks ago

mpcz píše:Ne Netinstal, ale stačí ve Winbox - mikrotiku dát terminál a: export file=config.txt, umaž na konci .rsc a můžeš editovat v téměř čemkoliv. Pokud ale toto nevíš, tak nalezení "viru" v tom dlouhém textu by mohl být trošku problém. Ale dá se to přeposlat někomu, kdo se v tom pohybuje již delší dobu. mpcz, 16/10/2018


to jo to vse chapu ale pokud je hackly a je v nem jine heslo a neni zakazany winbox port pripadne zmeneny tak se tam da dostat podflashovanim pres netinstall se zachovanim konfigurace pak vyzrat pres winboxexploid heslo dostat se tam pak vyexportovat nebo vycistit a prehrat na novou verzi, to vsechno chapu, ale jakmile zmeni port a nebo vypne winbox jsi v pytli, proto jsem se ptal jak umi netinstall vyexportovat config, pak by to bylo supr
0 x

Uživatelský avatar
hapi
Příspěvky: 11564
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 4 weeks ago

ve winboxu zatrhni keep config a přeflashni to. Po bootu to natahne config zpět bez hesel a pokud tam funguje ssh nebo telnet tak se winbox dá zpětně zapnout. Případně to prostě resetnout a config by se měl uložit na disk zařízení ale to si ověř bokem jinde protože už to fungovat nemusí a asi to nebude ani export ale backup.
0 x

mladas
Příspěvky: 146
Registrován: 9 years ago
antispam: Ano

Příspěvekod mladas » 4 weeks ago

hapi píše:ve winboxu zatrhni keep config a přeflashni to. Po bootu to natahne config zpět bez hesel a pokud tam funguje ssh nebo telnet tak se winbox dá zpětně zapnout. Případně to prostě resetnout a config by se měl uložit na disk zařízení ale to si ověř bokem jinde protože už to fungovat nemusí a asi to nebude ani export ale backup.


Prave , ze ne , natahne ho zpet i s heslem admina ktere je zmeneno , a proto jsme to podflashovavali na verzi treba 6.36 kdy se to dalo winboxexploidem vycist, ale pokud vypne winbox tak exploid nejde a jsi v .. i kdyz ti to nabidne login pres telnet nebo mactelnet
0 x

Uživatelský avatar
Macek
Příspěvky: 100
Registrován: 10 years ago

Příspěvekod Macek » 1 week ago

Uff, tak jsem přišel na stejné problémy, Web proxy je zapnutý a static DNS je plný přesně takových záznamů, ppp doda jsem taky odstranil
další problém, je že v logu naskakují stále řádky pptp, info TCP connection established from .... a různé ip adresy
dají se tyto pokusy ve firewalu nějakým pravidlem zakázat? díky za rady

[quote="roman.wifi@post.sk"]Konecne Nieco rozumne od ISPadmina...po dlhej dobe. :thumbsup:
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 12 hostů