Страница 1 из 1
Mikrotik хакнули :(
Добавлено: 25 апр 2018, 16:11
chas99
Коллеги доброго дня.
сегодня столкнулся с ситуацией - звонит клиент, говорит нет интернета, пробую подключиться к его mkrotik не коннекта, еду к нему...
светодиоды wi-fi и все 5 lan не горят!
с пк mikrotik не пингуется, делаю резет не помогает
забираю mikrotik ...
через Netinstall залил свежую прошивку 6.42.1 и о чудо mikrotik Ожил!!!
следующее чудо захожу на mikrotik, а все прежние настройки остались!!! если честно то ставил галочку в чекбоксе “keep old configuration”, странно почему сброс не срабатывал....
и самое интересное обнаружил новые правила в firewall ! (запретил их уже я)
add action=accept chain=input disabled=yes src-address=173.208.219.0/24
add action=accept chain=input disabled=yes src-address=91.215.158.0/24
add action=accept chain=input disabled=yes src-address=208.110.66.0/24
add action=accept chain=input disabled=yes src-address=188.92.74.0/24
add action=accept chain=input disabled=yes protocol=udp
add action=accept chain=input disabled=yes dst-port=10000-65535 protocol=tcp
add action=drop chain=input disabled=yes dst-port=0-10000 protocol=tcp
/ip firewall service-port (тоже я отключил)
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
интересно, что это было ?!
Re: Mikrotik хакнули :(
Добавлено: 25 апр 2018, 16:12
chas99
p.s. mikrotik RB951Ui-2HnD
Re: Mikrotik хакнули :(
Добавлено: 25 апр 2018, 16:15
chas99
причем пока это правило было активно я не мог удаленно через winbox подключиться к этому mikrotik'у
add action=drop chain=input disabled=yes dst-port=0-10000 protocol=tcp
Re: Mikrotik хакнули :(
Добавлено: 25 апр 2018, 17:25
Chupaka
"Keep old confirmation" — это сохранение предыдущей конфигурации. Без этой галки был бы сброс настроек, с ней — нет. Какая версия операционки была у взломанной системы?
https://forum.mikrotik.com/viewtopic.php?t=132499
Re: Mikrotik хакнули :(
Добавлено: 26 апр 2018, 02:04
chas99
я специально эту галочку включил.
интересно почему hard reset не срабатывал и не сбросил настройки!
6.35.2 (stable)
p.s. как на будущее "бороться" с подобными ситуациями?
Re: Mikrotik хакнули :(
Добавлено: 26 апр 2018, 02:14
chas99
Спасибо за ссылку, понял что нужно всех обновить...
www до взлома был изменен на 88
/ip service
set www address="" disabled=no port=88
а также были правила в FIREWALL
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
Re: Mikrotik хакнули :(
Добавлено: 28 апр 2018, 00:09
Chupaka
Ну, данные правила для сканеров портов и не должны были отработать, если сканирование производилось обычной попыткой подключения на порт. А другие правила вообще были? Которые блокировали трафик, например, с добавленных в список адресов
Про порт 88 не скажу, но могли проверять и другие более-менее стандартные порты (80, 88, 8080, 8081, etc.)
Re: Mikrotik хакнули :(
Добавлено: 28 апр 2018, 11:37
chas99
вот такие правила в начале списка
/ip firewall filter
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
Re: Mikrotik хакнули :(
Добавлено: 28 апр 2018, 21:02
Chupaka
Ну, в целом, против такого поведения правила для определения сканирования портов не подойдут просто потому, что "сканирование" одного порта - это по сути не сканирование, а просто единственная попытка установить с ним соединение.
Re: Mikrotik хакнули :(
Добавлено: 29 апр 2018, 05:30
chas99
Что посоветуете?
Re: Mikrotik хакнули :(
Добавлено: 29 апр 2018, 07:56
Chupaka
На официальном форуме все советы есть: обновиться и по возможности закрыть доступ
Re: Mikrotik хакнули :(
Добавлено: 01 май 2018, 11:02
chas99
"...По возможности закрыть доступ" - а можно поподробнее ?
Re: Mikrotik хакнули :(
Добавлено: 01 май 2018, 13:48
Chupaka
/ip firewall filter add chain=input in-interface=WAN action=drop
Re: Mikrotik хакнули :(
Добавлено: 01 май 2018, 16:51
chas99
Но в таком случае я ведь тоже не смогу удалённо зайти на mikrotik ни winbox, ни Tik-app
Re: Mikrotik хакнули :(
Добавлено: 01 май 2018, 17:37
chas99
http://youtu.be/PGvoT_Mwlvk Вот видео попалось на глаза в тему
может кому ещё пригодится ...
Re: Mikrotik хакнули :(
Добавлено: 03 май 2018, 13:22
chas99
Chupaka
а надо делать (рекомендуется) после обновления прошивки /system reset-configuration, при том что она (прошивка) давно не обновлялась?
например с 6.35.х до 6.42.1
Re: Mikrotik хакнули :(
Добавлено: 03 май 2018, 13:30
Chupaka
Нигде таких рекомендаций не видел. В последних версиях обещают, что операционка сама вычищает ненужные и левые файлы.