MikroTik CRS328-24P-4S+RM или HEXs — самовыключение всех интерфейсов — новая БОЛЕЗНЬ Микротиков?

Question

[AllegroFX]

Ужас начался около года назад. В парке сотни четыре разных микротиков в разных местах города

то тут то там звонят и сообщают что не работает инет
приезжаю - на этих микротиках (как правило всегда какой то один из кучи - не так что два и более) НЕ ГОРЯТ НИ ОДИН ИНТЕРФЕЙС.
POE может гореть по подключенным POE устройствам. Отрубаются полностью ВСЕ ledы на 5 или 24 интерфейсах
Хакеры исключаются на 99.99 проц - это происходило и в хорошо защищенной файрволом сети

НЮАНСЫ:
-прошивки как правило 7-й версии - но были и 6-й
-как правило заранее (ЗАМЕТИЛ! - но не все редактировал до этого момента - все равно может появиться сие...) в режиме коммутатора или режиме роутера - ПОЧЕМУ ТО вдруг перестают сохраняться настройки - для себя уже ставлю "галку" на таком приборе - что можно скоро ждать сюрприз...

И вот щас буквально только что было такое - редактируешь настройки - они не сохраняются... (вышел-зашел и уже нет изменений) перезагрузил удаленно 328-й POE... и... "all interface disable" - 24 порта ПОТУХЛИ после перезагрузки (удаленно это увидел по отключенным портам на соседних микротах - то есть это именно эта болезнь)
-после этого всегда эти роутер\коммутатор начинают перезагружаться в цикле как будто слетела прошивка и только... единственное: всемогущий NETINSTALL может оживить данную железку!!!
-за год "ПОЛЕТЕЛО" так в совершенно разных местах штук 10 вышеозначенных блоков...
-у меня такое одного происходит?
-настройки во всех железках бывают и сложные и самые простые - независимо от них
-железки могут проработать и 3 года и 2 месяца
-думал на хаккеров сначала - но по логам нет ничего при том что "логин - пароль - порт 8291" = меняю их все всегда так что даже не "стучатся" по логам

-еще момент - заметил что всё это происходит - если есть "тайный предпосыл" - это четко происходит СРАЗУ после перезагрузки питания - такое было раза 4 прямо при мне. Перезагрузил - получи работу!

-в Инете про такое не нашел ничего и близко...

-такое замечено пока что только на этих 2-х типах железок - хотя парк обширный

Comments

[Keffer]

Просто смиритесь с 2 простыми мыслями - вы давно не один админ в сети вашей, и ваши знания о микротиках находятся в зачаточном состоянии. Иначе бы вы не писали таких простыней текста. Сами по себе интерфейсы не могут стать Disabled никогда. Их туда переводит либо чей то скрипт, либо чья то добрая рука.

[Akina]

Начните с Manual:Securing Your Router

[Артем Кайбагоров]

А в логах-то что?

[Wexter]

Вангую что кто-то настроил логирование на встроенную флешку или что-то другое интенсивно пишущее и словил отвал памяти

[AllegroFX]

Keffer
Может все дело и хаккерах - но уж больно одинаково это все выглядит по совершенно разным обьектам к которым доступ только у меня с СЛОЖНЫМИ паролями-логинами и разным сервис-портам не 8291!!! плюс правила файрволл по максимуму. Крайне маловероятно что это хаккеры.

Akina
Спасибо - читаем

Артем Кайбагоров
Логи то и недоступны в принципе после самоблокировки

Wexter
БИНГО! Вполне себе вариант - на всех таки важных железках включаю питсать логи именно на DISK 10....40тыс строк - для полноты предистории всех событий.
Но если так - это было бы масово и у многих... у меня же ощущение что это происходит только у меня одного))))

[AllegroFX]

Keffer,
Добрая рука - в совершенно !!! разных местах действует абсолютно одинаково - были и взломы раза 2 с 2010 года - там все понятно: всегда все по разному делают разные ручонки. Здесь же 100проц одинаковость говорит только о том что это не внешнее воздействие ну явно же!

[Keffer]

AllegroFX, Всему то вас молодых учить надо и на пальцах разжевывать. Во первых - включаем полное логирование всего, всех событий, настраиваем централизованный сбор логов. А не складируем их на железки. Во вторых - в этом централизованном сборе логов и будет ответ, кто же выключает ваши интерфейсы. И кто вообще что делает на железке и что она "сама" делает. "Фаервол по максимуму" - не смешите мои тапочки) "Сложные пароли на порт 8291" ну тут вообще паццталом катаемся) Повторюсь, сами интерфейсы никогда не могут стать "ОФФ". Это делается единственно двумя путями - руками или скриптами.

[AllegroFX]

Keffer,

Ок прошла команда all OFF Interface - но у меня не просто все порты погасли и типа работает далее с выключенными портами но !!! начинается работа в постоянном цикле самоперезагрузки и только Netinstallom их можно остановить или через CLI ... ручки думаете...? непростые ручки - а прямо со знанием как вывести прошивку из строя!
В разных местах с разными белыми серыми внешними IP и тд

"Выключал" их я сам даже))) делаешь изменения - пересбрасываешь и... через 45 сек понеслось в цикле...
Ровно до этой перезагрузки все интерфейсы РАБОТАЮТ И ДОСТУПНЫ. Это о чем говорит! Скрипты предзаписанные? Может быть...
Некоторые на удаленке не сохраняют вводимые изменения - но нормально перегружаются при этом без сохранения - тестирую далее опять делая изменения и... ВНИМАНИЕ! на 2...5 раз П Е Р Е З А Г Р У З К И ---> начинается ЭТОТ ЭФФЕКТ в цикле!
Скрипты ну оч сильные) - щитают количество перезагрузок... может быть такое?

Я как железнячник больше - вижу здесь уж больно сильный намек не на софт....

Пароль не на 8291))))) - а пара логин-пароль накрученные + замена 8291 на нестандартный - люблю этот 18291
при этом на этом порту ни разу за все время не видел отчетов по скану и подбору

Да - микроту можно учиться вечность - все не изучишь...

[Keffer]

AllegroFX, начните с того что навсегда закройте доступ к админке извне. Совсем, вообще. И забудьте об этой концепции "нестандартные порты".

[AllegroFX]

Keffer,
Хорошо - но вот как вы потом до них стучитесь - не имея доступа... у меня разбросана куча обьектов - и по любому нужен доступ. Организовавывать сервер у себя дома и пусть клиенты ко мне стучатся? Вараинт неплохой - но пока не дошло еще до этого - хотя чуствую пора!
Как вы это видите? Также?

[Keffer]

AllegroFX, У меня есть центральный узел, куда подключены абсолютно все железки, и ко всем идет вилан управления. Только в нем открыт доступ к таким вещам как 8291. Отовсюду запрещен. Но, надо понимать что вы делаете и что строите. Нельзя сделать грамотной и безопасной инфраструктуры, без полного понимания процессов маршрутизации трафика.

Answer 1

[Юрий MikroTik]

Чудес не бывает.
1. Netinstall на свежий long-term
2. Пароль админа никому не даем
3. Доступ на железку только для своего IP
4. Ждем повторного поведения

Даже если микрот сбрасывается в 0, порты всегда будут в up

Comments

[AllegroFX]

вся база в WINBOX запароленная
пароли жестко только у меня
по IP - да - вариант неплохой - подумаю

Кстати - микротик не сбрасывается в НОЛЬ!!! Через сом-порт захожу по старому паролю - можно там зайти и коечем "покомандовать"

Answer 2

[Drno]

Либо это кто то делает

либо они просто сломаны - по крайней мере то что касается neinstall

Comments

[AllegroFX]

Сколько у вас микротиков на обслуживании?
Есть ли эти модели?
Сколько лет все это работает без таких вот сюрпризов?

Я просто удивляюсь что это только у меня.........

[Drno]

AllegroFX, уже немного, года 3 наад было порядка 40шт. нет конкретно этой модели не было. Hexы были

нет, таких сюрпризов не встречалось

да был залочен уд доступ и организован внутри ВПН контура, любые внешние удаленки до самого микротика были закрыты полностью, либо открыты с моего внешнего IP конкретно

за 5 лет "погиб" только 1 микротик, померла флешПамять. стояли в основном rb951 (это рестораны были), был еще случай когда перестал работать микрот, перепрошился - заработал но через сутки опять "отвалился" отовсюда. заменил на новый

[AllegroFX]

Drno,
у меня куча разного железа - НО именно только ЭТИ ДВЕ модели замечены в этом деянии

[AllegroFX]

И почти по всех случаях включаю логирование на DISK а не в память

[AllegroFX]

Пока это единственное обьяснение которое может провоцировать сбой прошивки...

КТО ЕЩЕ ТАК ДЕЛАЕТ - ОТЗОВИТЕСЬ - не было таких проблем?

[Drno]

AllegroFX, ну видимо он у Вас и выжрал весь ресурс "диска", по факту флешки....
у меня бОльшая часть логов была отключена вообще. остальное в оперативке