Хакнат микротик

[px1]

Здравейте, Хакнаха ми един mikrotik L4 на X86 платформа.

Беше ограничен за достъп само от 5 IP адреса и със спрени всички сървиси осен API и WINBOX

Има ли начин да се преинсталира флашката за да се запази лиценза ?

 

[111111]

  На 23.09.2018 г. at 18:48, didZ написа:

Аз проблема за сега си го реших като свалих всичко на 5.26 и изрових от архивите си Winbox v2.2... Поздрави.

Expand  

в този даунгреид няма логика а новите устройства не поддържат такива стари версии.

[JohnTRIVOLTA]

  На 23.09.2018 г. at 18:48, didZ написа:

Здравейте колеги. И на мен ми изхакаха доста устройства. Независимо дали са разрешени само определи IP-ta за достъп, независимо от версията, независимо от това че юзърнейма и паролите са меко казано сигурни. Общо взето използват бордовете за DNS сървъри. Също така и за WEB Proxy-ta. Правят си разни далавери през наши IP-та.. И сега, кооолкото и смешно да ви звучи.. Аз проблема за сега си го реших като свалих всичко на 5.26 и изрових от архивите си Winbox v2.2... Поздрави.

Expand  

Коментирано е многократно , какви са действията спрямо компрометиран борд ... най-вероятно имаш пропуски в същите !

[111111]

Почнали са да сканират пак 

124.235.138.2, request: "GET /winbox.png HTTP/1.1", host: "xxx.xxx.xxx.xxx:yy"
221.11.228.160, request: "GET /login.html HTTP/1.1", host: "xxx.xxx.xxx.xxx:yy"

ама не са ми очаквали NGINX-a

още малко ип-та за RAW дроп
14.204.115.63 182.138.162.107 124.235.138.2 221.11.228.160 220.250.62.8 183.184.30.8 36.106.87.71 36.106.87.71

[daniM]

  На 12.10.2018 г. at 16:25, 111111 написа:

Почнали са да сканират пак 

124.235.138.2, request: "GET /winbox.png HTTP/1.1", host: "xxx.xxx.xxx.xxx:yy"
221.11.228.160, request: "GET /login.html HTTP/1.1", host: "xxx.xxx.xxx.xxx:yy"

ама не са ми очаквали NGINX-a

още малко ип-та за RAW дроп
14.204.115.63 182.138.162.107 124.235.138.2 221.11.228.160 220.250.62.8 183.184.30.8 36.106.87.71 36.106.87.71

Expand  

с input ли дропваме в RAW ? Ако може поне един ред покажете ? Благодаря

Редактирано 12 Октомври, 2018 от daniM

[JohnTRIVOLTA]

Веригата е prerouting ... хубаво е да си изясниш пакет флоу за да няма излишни въпроси, т.е. в raw нямаш input верига, тя е след прерутинг ! Може да избереш in interface . По този начин режеш и в двете вериги за вход и преминаващ трафик с доста по-малко ресурс на CPU !

Редактирано 12 Октомври, 2018 от JohnTRIVOLTA

[daniM]

  На 12.10.2018 г. at 18:53, JohnTRIVOLTA написа:

Веригата е prerouting ... хубаво е да си изясниш пакет флоу за да няма излишни въпроси, т.е. в raw нямаш input верига, тя е след прерутинг ! Може да избереш in interface . По този начин режеш и в двете вериги за вход и преминаващ трафик с доста по-малко ресурс на CPU !

Expand  

Благодаря много 53 порт от там ли да го резна по upd за евентуални днс-флуд атаки ?

Редактирано 12 Октомври, 2018 от daniM

[JohnTRIVOLTA]

  На 12.10.2018 г. at 19:22, daniM написа:

Благодаря много 53 порт от там ли да го резна по upd за евентуални днс-флуд атаки ?

Expand  

Да . От там режи и тези които те сканират и форсват !

[daniM]

  На 12.10.2018 г. at 19:26, JohnTRIVOLTA написа:

Да . От там режи и тези които те сканират и форсват !

Expand  

като задължително указвам входния интерфейс ?

[JohnTRIVOLTA]

  На 12.10.2018 г. at 19:28, daniM написа:

като задължително указвам входния интерфейс ?

Expand  

Да, стига да си сигурен в локалният сегмент