Mikrotik хакнули :(

Базовая функциональность RouterOS
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Mikrotik хакнули :(

Сообщение chas99 »

Коллеги доброго дня.

сегодня столкнулся с ситуацией - звонит клиент, говорит нет интернета, пробую подключиться к его mkrotik не коннекта, еду к нему...
светодиоды wi-fi и все 5 lan не горят!
с пк mikrotik не пингуется, делаю резет не помогает
забираю mikrotik ...
через Netinstall залил свежую прошивку 6.42.1 и о чудо mikrotik Ожил!!!
следующее чудо захожу на mikrotik, а все прежние настройки остались!!! если честно то ставил галочку в чекбоксе “keep old configuration”, странно почему сброс не срабатывал....

и самое интересное обнаружил новые правила в firewall ! (запретил их уже я)
add action=accept chain=input disabled=yes src-address=173.208.219.0/24
add action=accept chain=input disabled=yes src-address=91.215.158.0/24
add action=accept chain=input disabled=yes src-address=208.110.66.0/24
add action=accept chain=input disabled=yes src-address=188.92.74.0/24
add action=accept chain=input disabled=yes protocol=udp
add action=accept chain=input disabled=yes dst-port=10000-65535 protocol=tcp
add action=drop chain=input disabled=yes dst-port=0-10000 protocol=tcp

/ip firewall service-port (тоже я отключил)
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes

интересно, что это было ?!
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Mikrotik хакнули :(

Сообщение chas99 »

p.s. mikrotik RB951Ui-2HnD
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Mikrotik хакнули :(

Сообщение chas99 »

причем пока это правило было активно я не мог удаленно через winbox подключиться к этому mikrotik'у
add action=drop chain=input disabled=yes dst-port=0-10000 protocol=tcp
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Mikrotik хакнули :(

Сообщение Chupaka »

"Keep old confirmation" — это сохранение предыдущей конфигурации. Без этой галки был бы сброс настроек, с ней — нет. Какая версия операционки была у взломанной системы?

https://forum.mikrotik.com/viewtopic.php?t=132499
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Mikrotik хакнули :(

Сообщение chas99 »

я специально эту галочку включил.
интересно почему hard reset не срабатывал и не сбросил настройки!

6.35.2 (stable)

p.s. как на будущее "бороться" с подобными ситуациями?
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Mikrotik хакнули :(

Сообщение chas99 »

Спасибо за ссылку, понял что нужно всех обновить... :geek:

www до взлома был изменен на 88
/ip service
set www address="" disabled=no port=88

а также были правила в FIREWALL
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP FIN Stealth scan" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/FIN scan" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="SYN/RST scan" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="FIN/PSH/URG scan" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="ALL/ALL scan" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" address-list-timeout=2w chain=input comment="NMAP NULL scan" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Mikrotik хакнули :(

Сообщение Chupaka »

Ну, данные правила для сканеров портов и не должны были отработать, если сканирование производилось обычной попыткой подключения на порт. А другие правила вообще были? Которые блокировали трафик, например, с добавленных в список адресов :)

Про порт 88 не скажу, но могли проверять и другие более-менее стандартные порты (80, 88, 8080, 8081, etc.)
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Mikrotik хакнули :(

Сообщение chas99 »

вот такие правила в начале списка

/ip firewall filter
add action=accept chain=input comment="default configuration" connection-state=established,related
add action=drop chain=input comment="dropping port scanners" src-address-list="port scanners"
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Mikrotik хакнули :(

Сообщение Chupaka »

Ну, в целом, против такого поведения правила для определения сканирования портов не подойдут просто потому, что "сканирование" одного порта - это по сути не сканирование, а просто единственная попытка установить с ним соединение.
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Mikrotik хакнули :(

Сообщение chas99 »

Что посоветуете?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Mikrotik хакнули :(

Сообщение Chupaka »

На официальном форуме все советы есть: обновиться и по возможности закрыть доступ :)
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Mikrotik хакнули :(

Сообщение chas99 »

"...По возможности закрыть доступ" - а можно поподробнее ?
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Mikrotik хакнули :(

Сообщение Chupaka »

/ip firewall filter add chain=input in-interface=WAN action=drop :)
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Mikrotik хакнули :(

Сообщение chas99 »

Но в таком случае я ведь тоже не смогу удалённо зайти на mikrotik ни winbox, ни Tik-app
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Mikrotik хакнули :(

Сообщение chas99 »

http://youtu.be/PGvoT_Mwlvk Вот видео попалось на глаза в тему ;) может кому ещё пригодится ...
chas99
Сообщения: 128
Зарегистрирован: 10 фев 2017, 08:52

Re: Mikrotik хакнули :(

Сообщение chas99 »

Chupaka

а надо делать (рекомендуется) после обновления прошивки /system reset-configuration, при том что она (прошивка) давно не обновлялась?
например с 6.35.х до 6.42.1
Аватара пользователя
Chupaka
Сообщения: 4086
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Mikrotik хакнули :(

Сообщение Chupaka »

Нигде таких рекомендаций не видел. В последних версиях обещают, что операционка сама вычищает ненужные и левые файлы.