Pokusy o přihlášení na Mikrotiky

Návody a problémy s konfigurací.
basty
Příspěvky: 2347
Registrován: 14 years ago
Kontaktovat uživatele:

Re: Pokusy o přihlášení na Mikrotiky

Příspěvekod basty » 1 year ago

U me na všech veřejných čisty. Ale radši jsem změnil výchozí porty pro jistotu než se to objasní.
0 x

CrazyApe
Příspěvky: 763
Registrován: 4 years ago

Příspěvekod CrazyApe » 1 year ago

Na hlavní GW jsem taky zablokoval forward pro celou síť 8291 pro jistotu...
0 x

Uživatelský avatar
honzam
Příspěvky: 5561
Registrován: 12 years ago

Příspěvekod honzam » 1 year ago

Zatím v síti nic. Máte to někdo kdo máte zakázaný winbox port zvenku?

Support píše:
While we are looking into this problem:

1) Protect your device (any service) from attacks by using firewall. If you definitely need an open access for some service then either whitelist IP or domain name or use port knocking;
2) Make sure that there is no user called admin on your router configured;
3) Make sure that you change passwords for all the users if there is a chance that your device was affected;
4) Make sure that you are running latest RouterOS version to be sure that this is not a problem which is already resolved in the past.
0 x

mrazek609
Příspěvky: 226
Registrován: 8 years ago

Příspěvekod mrazek609 » 1 year ago

Tak mám taky jeden router. Nijak zvláštně se ale nechová, ani žádná komunikace mimo běžnou.
Přílohy
mikrotik.PNG
mikrotik.PNG (92.92 KiB) Zobrazeno 1780 x
0 x

Invia
Příspěvky: 79
Registrován: 6 years ago

Příspěvekod Invia » 1 year ago

To ze se nijak zvláště nechová, toho bych se bal vic :D člověk nikdy nevi, jake prava dany člověk díky exploitu ma a co vse je schopen skryt.
1 x

mrazek609
Příspěvky: 226
Registrován: 8 years ago

Příspěvekod mrazek609 » 1 year ago

Mám ještě jeden případ 10 minut starý. Tady si parchanti udělali vlastní firewall (verze 6.41.3).

chain=input action=accept src-address=173.208.219.0/24 log=no log-prefix=""
chain=input action=accept src-address=91.215.158.0/24 log=no log-prefix=""
chain=input action=accept src-address=208.110.66.0/24 log=no log-prefix=""
chain=input action=accept src-address=188.92.74.0/24 log=no log-prefix=""
chain=input action=accept protocol=udp log=no log-prefix=""
chain=input action=accept protocol=tcp dst-port=10000-65535 log=no log-prefix=""
chain=input action=accept protocol=udp log-prefix=""

Momentálně jsem na hlavní GW zablokoval forward 8291 než se bude vědět co dál.
0 x

disk
Příspěvky: 329
Registrován: 8 years ago

Příspěvekod disk » 1 year ago

Nemate zapnuty pripojeni do cloudu?
0 x

pgb
Příspěvky: 691
Registrován: 3 years ago

Příspěvekod pgb » 1 year ago

mk na foru žádá, aby se na support obraceli lidé se stejným postižením, poslali supout a ideálně umožnili vzdálený přístup

https://forum.mikrotik.com/viewtopic.php?f=2&t=133438#p656192
Everyone who seems to be affected (did see failed login attempts from unknown IP which in the end resulted in successful login attempt) and did see these files created on the router - please write to support@mikrotik.com. Send to us supout file from your router. If it would be possible to get remote access to your router, then it would be the best way how we can try to determine in what way attacker did gain access to your router
0 x

KoZLiCeK
Příspěvky: 1279
Registrován: 11 years ago
Bydliště: CZ

Příspěvekod KoZLiCeK » 1 year ago

a nestaci jen povolit pristup z určitých adres?
0 x

pepulis
Příspěvky: 1428
Registrován: 14 years ago
Bydliště: Zlín
Kontaktovat uživatele:

Příspěvekod pepulis » 1 year ago

KoZLiCeK píše:a nestaci jen povolit pristup z určitých adres?


Taky si myslim, v ip services a v users mam vzdy rozsahy, ze kterych muzu do RB pristupovat. Zatim klid a snad i bude ...
0 x

pgb
Příspěvky: 691
Registrován: 3 years ago

Příspěvekod pgb » 1 year ago

To je trochu nejisté, zatím nikdo nic pořádně neví ... pokud se budeme bavit čistě o winboxu a jeho službě v routeros, tak se neví, v jakém kroku dochází k problému. Také mám vyplněno ip services address, ale to znamená že o přístupu k tomu démonu rozhoduje ten démon sám. Démon jako takový je stále dostupný a to může znamenat potencionální ohrožení (není blokován jinou službou - firewallem).

PS: démon = daemon = označení pro běžící službu v linuxu/unixu ....
0 x

Noxus28
Příspěvky: 426
Registrován: 8 years ago

Příspěvekod Noxus28 » 1 year ago

pgb píše:To je trochu nejisté, zatím nikdo nic pořádně neví ... pokud se budeme bavit čistě o winboxu a jeho službě v routeros, tak se neví, v jakém kroku dochází k problému. Také mám vyplněno ip services address, ale to znamená že o přístupu k tomu démonu rozhoduje ten démon sám. Démon jako takový je stále dostupný a to může znamenat potencionální ohrožení (není blokován jinou službou - firewallem).

PS: démon = daemon = označení pro běžící službu v linuxu/unixu ....


hmm tak to som sa aj ja zatiaľ spoliehal na services :flushed: asi to radšej prekopem na FW
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo 🤓

medvedkov
Příspěvky: 48
Registrován: 13 years ago
Bydliště: mpb
Kontaktovat uživatele:

Příspěvekod medvedkov » 1 year ago

pokud mám už router napaden, poradí někdo jak se té potvory zbavit? Stačí přehrát přes netinstal nebo jen zaktualizovat?
0 x
zadnej

Dalibor Toman
Příspěvky: 1245
Registrován: 7 years ago

Příspěvekod Dalibor Toman » 1 year ago

pgb píše:To je trochu nejisté, zatím nikdo nic pořádně neví ... pokud se budeme bavit čistě o winboxu a jeho službě v routeros, tak se neví, v jakém kroku dochází k problému. Také mám vyplněno ip services address, ale to znamená že o přístupu k tomu démonu rozhoduje ten démon sám. Démon jako takový je stále dostupný a to může znamenat potencionální ohrožení (není blokován jinou službou - firewallem).

PS: démon = daemon = označení pro běžící službu v linuxu/unixu ....


Predpokladal bych, ze primarni obsluhu vsech sluzeb v prvni fazi dela nejaky obecny demon (inetd resp xinetd z linuxu), ktery provede kontrolu IP adres a pak teprve pripadne zavola binarku/skript obsluhujici konkretni sluzbu. Takze pokud neni zranitelnost primo v tom xinetd (sance je mensi, protoze ten demon jen prijme spojeni ci UDP packet a nemusi koukat na vlastni data, spusti cilovou binarku a pak jen prehazuje data) melo by omezeni IPcek stacit k tomu aby se napadnutelny winbox demon vubec nedostal ke slovu.
Ale samozrejme to muze byt udelano i bez toho mezikusu s xinetd a pak by bylo na kazde sluzbe aby zkontrolovala povolena IP.
1 x

Dalibor Toman
Příspěvky: 1245
Registrován: 7 years ago

Příspěvekod Dalibor Toman » 1 year ago

medvedkov píše:pokud mám už router napaden, poradí někdo jak se té potvory zbavit? Stačí přehrát přes netinstal nebo jen zaktualizovat?

IMHO by mel stacit upgrade na dalku. Od 6.38.5 (resp 6.37.5 bugfix) ma RouterOS pri instalaci mazat kolem sebe vsechno, co na flashce nema co delat (v systemove oblasti)
1 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti