Хакнат микротик

[px1]

Здравейте, Хакнаха ми един mikrotik L4 на X86 платформа.

Беше ограничен за достъп само от 5 IP адреса и със спрени всички сървиси осен API и WINBOX

Има ли начин да се преинсталира флашката за да се запази лиценза ?

 

[111111]

Преди 10 часа, didZ написа:

Аз проблема за сега си го реших като свалих всичко на 5.26 и изрових от архивите си Winbox v2.2... Поздрави.

в този даунгреид няма логика а новите устройства не поддържат такива стари версии.

[JohnTRIVOLTA]

Преди 11 часа, didZ написа:

Здравейте колеги. И на мен ми изхакаха доста устройства. Независимо дали са разрешени само определи IP-ta за достъп, независимо от версията, независимо от това че юзърнейма и паролите са меко казано сигурни. Общо взето използват бордовете за DNS сървъри. Също така и за WEB Proxy-ta. Правят си разни далавери през наши IP-та.. И сега, кооолкото и смешно да ви звучи.. Аз проблема за сега си го реших като свалих всичко на 5.26 и изрових от архивите си Winbox v2.2... Поздрави.

Коментирано е многократно , какви са действията спрямо компрометиран борд ... най-вероятно имаш пропуски в същите !

[111111]

Почнали са да сканират пак 

124.235.138.2, request: "GET /winbox.png HTTP/1.1", host: "xxx.xxx.xxx.xxx:yy"
221.11.228.160, request: "GET /login.html HTTP/1.1", host: "xxx.xxx.xxx.xxx:yy"

ама не са ми очаквали NGINX-a

още малко ип-та за RAW дроп
14.204.115.63 182.138.162.107 124.235.138.2 221.11.228.160 220.250.62.8 183.184.30.8 36.106.87.71 36.106.87.71

[daniM]

преди 29 минути, 111111 написа:

Почнали са да сканират пак 

124.235.138.2, request: "GET /winbox.png HTTP/1.1", host: "xxx.xxx.xxx.xxx:yy"
221.11.228.160, request: "GET /login.html HTTP/1.1", host: "xxx.xxx.xxx.xxx:yy"

ама не са ми очаквали NGINX-a

още малко ип-та за RAW дроп
14.204.115.63 182.138.162.107 124.235.138.2 221.11.228.160 220.250.62.8 183.184.30.8 36.106.87.71 36.106.87.71

с input ли дропваме в RAW ? Ако може поне един ред покажете ? Благодаря

Редактирано 12 Октомври, 2018 от daniM

[JohnTRIVOLTA]

Веригата е prerouting ... хубаво е да си изясниш пакет флоу за да няма излишни въпроси, т.е. в raw нямаш input верига, тя е след прерутинг ! Може да избереш in interface . По този начин режеш и в двете вериги за вход и преминаващ трафик с доста по-малко ресурс на CPU !

Редактирано 12 Октомври, 2018 от JohnTRIVOLTA

[daniM]

преди 29 минути, JohnTRIVOLTA написа:

Веригата е prerouting ... хубаво е да си изясниш пакет флоу за да няма излишни въпроси, т.е. в raw нямаш input верига, тя е след прерутинг ! Може да избереш in interface . По този начин режеш и в двете вериги за вход и преминаващ трафик с доста по-малко ресурс на CPU !

Благодаря много 53 порт от там ли да го резна по upd за евентуални днс-флуд атаки ?

Редактирано 12 Октомври, 2018 от daniM

[JohnTRIVOLTA]

преди 3 минути, daniM написа:

Благодаря много 53 порт от там ли да го резна по upd за евентуални днс-флуд атаки ?

Да . От там режи и тези които те сканират и форсват !

[daniM]

преди 1 минута, JohnTRIVOLTA написа:

Да . От там режи и тези които те сканират и форсват !

като задължително указвам входния интерфейс ?

[JohnTRIVOLTA]

Just now, daniM написа:

като задължително указвам входния интерфейс ?

Да, стига да си сигурен в локалният сегмент