Хакнат микротик

[px1]

Здравейте, Хакнаха ми един mikrotik L4 на X86 платформа.

Беше ограничен за достъп само от 5 IP адреса и със спрени всички сървиси осен API и WINBOX

Има ли начин да се преинсталира флашката за да се запази лиценза ?

 

[111111]

http://bgwhois.com

46.148.20.25 - Гео информация
ИП адрес	46.148.20.25
Хост	46.148.20.25
Местоположение	UA UA, Ukraine
Град	Kharkov, 07 61029
Организация	Infium, UAB
Интернет доставчик	Infium, UAB
AS номер	AS50297 Infium, UAB

вероятно евтин хостинг или такъв с месец тест.

[kmeta]

Бях със стара версия 6.39.3 и вчера са ме хакнали.

Това е решението: сссс

[master]

A пише, че над v6.38.5  всичко е фикснато??

[office]

Quote

Public exploit	This vulnerability is being exploited in the wild.
Vulnerable software	MikroTik RouterOS
Vulnerable software versions	MikroTik RouterOS 6.42 MikroTik RouterOS 6.41.4 MikroTik RouterOS 6.40.7 Hide more MikroTik RouterOS 6.41.3 MikroTik RouterOS 6.40.6 MikroTik RouterOS 6.40.3 MikroTik RouterOS 6.40.2 MikroTik RouterOS 6.36.4 MikroTik RouterOS 6.41.2 MikroTik RouterOS 6.41.1 MikroTik RouterOS 6.41 MikroTik RouterOS 6.40.5 MikroTik RouterOS 6.40.4 MikroTik RouterOS 6.40.1 MikroTik RouterOS 6.40

 

[Inkas]

Здравейте колеги,

Ще опиша на кратко как аз решавам проблема с "хакнатите микротици".

1.  System -> Scripts - махам скрипта ако се не лъжа кръстен е "script3_"

2. System -> Scheduler - махам Schedule-а

3. IP -> Socks - Спирам го (махам отметката от "Enable")

4. IP -> Services - Спирам всички сървиси, като оставям само Winbox-a, където си описвам само адресите от които да имам достъп

5. Upgrade

6. IP -> Firewall - разрешавам "drop" правилата, които ги забраняват

7. Сменям всички пароли.

Ако някой колега има да добави нещо, нека да го напише.

Редактирано 31 Юли, 2018 от Inkas

[111111]

Смяна на имената на потребителите също не е лошо решение.
Влизане през ROMON протокола.

[goshkata]

Здравейте и от мен, 

имам 4 борда  от  които единия  е  хакнат на 29.07. с разрешен IP -> Socks . Другите  три са  със забранен IP -> Socks по  дефаулт  и  с  тях   няма  проблем,  поне  за   сега. Всички  бордове   имат  разрешен достъп  само през  win box.

[JohnTRIVOLTA]

И сменете порта на WinBOX , като и добавите в стената правила за портсканери , като дроп правилото за същите да са ви в прерутинг веригата т.е. в RAW !

[msboy]

Преди 8 часа, JohnTRIVOLTA написа:

И сменете порта на WinBOX , като и добавите в стената правила за портсканери , като дроп правилото за същите да са ви в прерутинг веригата т.е. в RAW !

Нищо не помага!  Ако са решили да влязат си влизат и излизат сякаш са у дома си. Снощи хакнаха борд с версия 6.42.6 , който беше с променена парола, порт и определен диапазон за IP адреси за Winbox. От съпорта казаха че данните за борда са били вземати преди ъпгрейда и заради това са проникнали без проблем. Да ама не ! Бяха спазени всички стъпки за защита включително и за смяна на паролата след ъпгрейд който беше продиктуван с цел УЖ! за защита от проникване.  И най-тъпото което ми искат е да генерирам supout.rif ???!!! Как да го генерирам след като взимат пълните права над рутера и си правят каквото искат хакерите. 

[px1]

преди 19 минути, msboy написа:

Нищо не помага!  Ако са решили да влязат си влизат и излизат сякаш са у дома си. Снощи хакнаха борд с версия 6.42.6 , който беше с променена парола, порт и определен диапазон за IP адреси за Winbox. От съпорта казаха че данните за борда са били вземати преди ъпгрейда и заради това са проникнали без проблем. Да ама не ! Бяха спазени всички стъпки за защита включително и за смяна на паролата след ъпгрейд който беше продиктуван с цел УЖ! за защита от проникване.  И най-тъпото което ми искат е да генерирам supout.rif ???!!! Как да го генерирам след като взимат пълните права над рутера и си правят каквото искат хакерите. 

Преинсталира ли го с netinstall ?

Ако ползваш backup файл, след като го качиш на префлашнатото устройство, направи export на конфигурацията , префлашни го  наново и качи кофигурацията с export файла.

Предполагам че с backup файла се прехвърля и дупката в софтуера .

[msboy]

преди 4 минути, px1 написа:

Преинсталира ли го с netinstall ?

Ако ползваш backup файл, след като го качиш на префлашнатото устройство, направи export на конфигурацията , префлашни го  наново и качи кофигурацията с export файла.

Предполагам че с backup файла се прехвърля и дупката в софтуера .

То друг вариант няма освен с Neinstall да си възстановиш правата. Пък и възстановяването става поне при мен  ред по ред от предварителен \export compac (визирам от txt файл) . Няма какво да го дъвчем проблема е налице. 

[master]

преди 12 минути, px1 написа:

Преинсталира ли го с netinstall ?

Ако ползваш backup файл, след като го качиш на префлашнатото устройство, направи export на конфигурацията , префлашни го  наново и качи кофигурацията с export файла.

Предполагам че с backup файла се прехвърля и дупката в софтуера .

А ако е с export?

[master]

Преди 1 час, msboy написа:

Нищо не помага!  Ако са решили да влязат си влизат и излизат сякаш са у дома си. Снощи хакнаха борд с версия 6.42.6 , който беше с променена парола, порт и определен диапазон за IP адреси за Winbox. От съпорта казаха че данните за борда са били вземати преди ъпгрейда и заради това са проникнали без проблем. Да ама не ! Бяха спазени всички стъпки за защита включително и за смяна на паролата след ъпгрейд който беше продиктуван с цел УЖ! за защита от проникване.  И най-тъпото което ми искат е да генерирам supout.rif ???!!! Как да го генерирам след като взимат пълните права над рутера и си правят каквото искат хакерите. 

Кои сървиси бяха активни, беше ли направил стъпките които колегите по-горе описаха?

От няколко месеца редовно ми излиза рекламата за някаква "защита" направена спец за МТ. Според мен зад тия атаки не стоят някой случайни хора.

[JohnTRIVOLTA]

Преди 1 час, msboy написа:

Нищо не помага!  Ако са решили да влязат си влизат и излизат сякаш са у дома си. Снощи хакнаха борд с версия 6.42.6 , който беше с променена парола, порт и определен диапазон за IP адреси за Winbox. От съпорта казаха че данните за борда са били вземати преди ъпгрейда и заради това са проникнали без проблем. Да ама не ! Бяха спазени всички стъпки за защита включително и за смяна на паролата след ъпгрейд който беше продиктуван с цел УЖ! за защита от проникване.  И най-тъпото което ми искат е да генерирам supout.rif ???!!! Как да го генерирам след като взимат пълните права над рутера и си правят каквото искат хакерите. 

Най-вероятно имаш компрометиран "компот" на който влизаш с WinBOX . Така че няма нужда да кардинализираш нещата , защото не са такива, както ги изкарваш . ако си по прочел някои неща и се позамислиш по-задълбочено !

[msboy]

преди 45 минути, JohnTRIVOLTA написа:

Най-вероятно имаш компрометиран "компот" на който влизаш с WinBOX . Така че няма нужда да кардинализираш нещата , защото не са такива, както ги изкарваш . ако си по прочел някои неща и се позамислиш по-задълбочено !

Личи си че не си прочел и ред за компотите принципа на проникване (доколкото има официална и неофициална информация) и заради това цитираш WinBOX некомпетентно! .  

Редактирано 1 Август, 2018 от msboy
поправка