MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
Machca
Příspěvky: 51
Registrován: 10 years ago

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod Machca » 2 months ago

Já to mam bloklý v RAWu a loguju ten port, sem tam někdo to zkusí
0 x
Machča

ludvik
Příspěvky: 3940
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

Víš, keksíku ... ne každý mikrotik má jednoznačně definovaný WAN. Ne každý mikrotik si lze odříznout z internetu. Proto nás zajímají i bugy jako takové, ne jenom obrana (která je v tomto případě prostě nemožná, neboť problém může nastat i z LAN strany, nebo po MAC-serveru).
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

andrejtom
Příspěvky: 3
Registrován: 10 months ago

Příspěvekod andrejtom » 2 months ago

Tak sa pridavam do zoznamu, mam 3ks MK napadnutych kde je najnovsi SW 6.43.
Su tam zmenene Login ktore niesu nikde inde a niesu ani ulozene v pocitaci.
PS: Mam len pocitace s OSX cez ktore som sa prihlasoval, a pri aktualizacii uz tam bolo nastavene pravidlo ktore blokuje winbox port cez WAN a bol aj zmeneny port.
0 x

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

andrejtom píše:Tak sa pridavam do zoznamu, mam 3ks MK napadnutych kde je najnovsi SW 6.43.
Su tam zmenene Login ktore niesu nikde inde a niesu ani ulozene v pocitaci.
PS: Mam len pocitace s OSX cez ktore som sa prihlasoval, a pri aktualizacii uz tam bolo nastavene pravidlo ktore blokuje winbox port cez WAN a bol aj zmeneny port.

Jakou měly veřejnou IP? "Podobnou"? Bylo to napadené v jeden den? Nemají ty napadené stroje na své LAN straně nějaké další stroje s veřejnou IP? Dík, mpcz, 14.9.2018
0 x

andrejtom
Příspěvky: 3
Registrován: 10 months ago

Příspěvekod andrejtom » 2 months ago

Jeden mal verejnu IP a ostatne su zanim ako AP, napadnute boli asi v rovnaky cas alebo priblizne lebo este den pred zistenim sa kontroloval kazdy.
Jeden bol ako hlavny (RB1100) s verejnou IP a ostatne (cAP AC) ako AP. Pripojene su len Notebooky, Telefony a iMac.
0 x

Beny44
Příspěvky: 53
Registrován: 2 years ago

Příspěvekod Beny44 » 2 months ago

Hmm, tak teda nevim, ale i přes zakázání všech služeb kromě winboxu z vnitřní sítě jsem dnes dostal upozornění od svého ISP a z Národní CSIRT tým ČR, že jsem napadl ze své veřejné IP jakousi síť přes UDP port 80. Ok zavřu to ven, ale rád bych našel ten script nebo co to vlastně může způsobovat. Koukal jsem do scriptů a to je prázdné, ve files taky nic navíc není. Může mně někdo nasměrovat, kde bych to mohl najít?
Díky
0 x
http://www.pocasinakladne.cz
http://www.benyhogalerie.cz
2011UiAS-2HnD OS 6.42.6
3011UiAS-RM OS 6.42.6

Machca
Příspěvky: 51
Registrován: 10 years ago

Příspěvekod Machca » 2 months ago

pust si ve winboxu terminal a dej print vyjede ti celá konfigurace tam najdeš nesrovnalosti
0 x
Machča

ludvik
Příspěvky: 3940
Registrován: 7 years ago

Příspěvekod ludvik » 2 months ago

Na některou ze stanic.
Beny44 píše:... Může mně někdo nasměrovat, kde bych to mohl najít?
0 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Beny44
Příspěvky: 53
Registrován: 2 years ago

Příspěvekod Beny44 » 2 months ago

ludvik píše:Na některou ze stanic.
Beny44 píše:... Může mně někdo nasměrovat, kde bych to mohl najít?


:-))
0 x
http://www.pocasinakladne.cz
http://www.benyhogalerie.cz
2011UiAS-2HnD OS 6.42.6
3011UiAS-RM OS 6.42.6

hapi3
Příspěvky: 81
Registrován: 2 months ago

Příspěvekod hapi3 » 2 months ago

andrejtom píše:Tak sa pridavam do zoznamu, mam 3ks MK napadnutych kde je najnovsi SW 6.43.
Su tam zmenene Login ktore niesu nikde inde a niesu ani ulozene v pocitaci.
PS: Mam len pocitace s OSX cez ktore som sa prihlasoval, a pri aktualizacii uz tam bolo nastavene pravidlo ktore blokuje winbox port cez WAN a bol aj zmeneny port.


A kdy si je updatoval na tu verzi? A co si tam mel předtím za verzi.
0 x

andrejtom
Příspěvky: 3
Registrován: 10 months ago

Příspěvekod andrejtom » 2 months ago

Aktualizovane to bolo hned ako to vyslo, bol tam skript na automaticku aktualizaciu.
0 x

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

Dalibor Toman píše:
Peyrak píše:Spouštím to takto:

Kód: Vybrat vše

MACServerExploit E4:8D:8C:17:14:69

Chyba:

Kód: Vybrat vše

Exception in thread Thread-1:
Traceback (most recent call last) :
File "c:\cestaKpythonu\lib\threading.py", line 916, in _bootstrap_inner self run()
File "c:\cestaKpythonu\lib\threading.py", line 864, in run self._target(*self._args, **self._kwargs)
File "c:\MACServerExploit.py", line 62, in __recv_manager__data, _ = self.sock.recvfrom(1024*64)
OSError: [WinError 10022] Byl zadán neplatný argument


https://stackoverflow.com/questions/358 ... t-supplied

Na windows zrejme musis mit opravneni administratora a by skript probehl. Pripadne by se asi musel modifikovat skript pridanim radku
self.sock.bind('',nejake cislo portu treba 5678) nekam pred ten recvfrom(), aby se socket bindnul na nejaky konkretni port na lokalni strane.

Zdravím, vyřešil se ten problém MACServerExploit-u nějak? To řešení s oprávněním adm. se mi moc nepozdává, ale možná něco dělám blbě a nebo jsem to (jako obvykle) nepochopil. Dík. mpcz, 15.9.2018
Naposledy upravil(a) mpcz dne 17 Sep 2018 19:12, celkem upraveno 2 x.
0 x

Machca
Příspěvky: 51
Registrován: 10 years ago

Příspěvekod Machca » 2 months ago

Ahoj když si dáte heslo který bude obsahovat č anebo jiný specificky český znak, tak ať si použijou winbox exploit :-) stejně se nepřihlásí nikdo, neb jim to vybleje nějakej paskvil znak, teď to tu testuju na verzi 6.40.5, testovací router
0 x
Machča

ppp76
Příspěvky: 2863
Registrován: 12 years ago
Kontaktovat uživatele:

Příspěvekod ppp76 » 2 months ago

Maly poznatek nevim jestli tu uz probehl ale pokdu je router napadeny tak mi vzdy ukazuje verzi 6.42.7 ty smejdi si ho upgradnuli na tuhle verzi sami
0 x

mpcz
Příspěvky: 2250
Registrován: 12 years ago

Příspěvekod mpcz » 2 months ago

ppp76 píše:Maly poznatek nevim jestli tu uz probehl ale pokdu je router napadeny tak mi vzdy ukazuje verzi 6.42.7 ty smejdi si ho upgradnuli na tuhle verzi sami

Ano, už to tu někdo psal. Ten potřebný restart pro upgrade udělali sami, nebo až ty při odpojení od napájení? Důvod upgrade je prostý: nechtějí, aby se někdo hrabal v jejich skriptech atd., tak nahrají verzi, kterou zatím umí odemknout míň lidí. Na druhou stránku - tím na sebe ovšem předčasně upozorní. mpcz, 15.9.2018
1 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Vic a 15 hostů