Странные DNS записи. Мог ли Mikrotik быть взломан?

Question

[YgrecK]

Всех категорически приветствую!

Получил в наследство от предыдущего админа железку Mikrotik RB2011UiAS-2HnD. Ну, как получил. Обнаружилась в нашем филиале на другом конце страны. Пока всё работало и народ не жаловался, следовал правилу "работает - не трогай". Но, вот настало время разбираться.

Предыдущий админ не оставил мне ничего. АБСОЛЮТНО. Никаких явок-паролей.
На мое счастье, на одном старом ПК в филиале, стояло старая версия Winbox, из которой вытащил пароль.
Поковырявшись, обнаружил весьма странные статические А-записи в DNS-е:



Все эти "зеркала" на двух болгарских IP. Как думаете, что это может быть? Был ли взломан? Или прошлый админ чем-то промышлял?

Answer 1

[AlexVWill]

Как думаете, что это может быть?

Адреса конечно странные, но само по себе указание статики в DNS никакого криминала не несет. Просто ускорение за счет того, что при обращении на этот дрес резолвинг не требует запроса на DNS сервер, ну или при отсутствии отклика от DNS сервера не будет ошибки.

Comments

[YgrecK]

Это я понимаю. Их смысл не пойму) Чем старый админ интересно занимался. Ведь, большинства доменов, с намеком на mine, coin, eth...etherium? и тд)

[muhamuha]

юзер заходит на сайт с криптой, думая, что заходит на оригинальный сайт
а микротик его перенаправляет на "похожий"
что будет, когда юзер туда введёт свои данные - можно догадаться
очень похоже на попытку украсть немножк крипты у юзеров в локалке.

немного сериально звучит, да :)

[YgrecK]

muhamuha, =)) Чем черт не шутит))

[Ziptar]

muhamuha,
а нехрен майнить на работе

[AlexVWill]

muhamuha, так просто это не работает, там минимум еще браузер должен быть хакнут... но в принципе да, это один из этапов атаки путем подмены DNS

[Ziptar]

AlexVWill, браузер. В организации. "Хакнут". Админом. Да ну не, не может быть.

Answer 2

[Юрий MikroTik]

На взлом явно указывает наличие пользователя System в админке MikroTik
А DNS похоже на попытку блокировки ресурсов

Comments

[YgrecK]

Пользователя System не было.

Собственно, мои первые действия - отключил дефолтную, отключил все доступы кроме Winbox с заменой дефолтного порта, отключил один незнакомый мне GRE-туннель на какой-то левый зарубежный IP (или, по крайней мере, мне неизвестный зачем он там), обновил прошивку до последней Long-term, всю эту статику в дизаблед.
Юрий MikroTik Какие еще могут быть рекомендации?

[Юрий MikroTik]

YgrecK, если есть подозрения - слить конфиг, сделать natinstall, залить частями обратно, отключив подозрительное.
Далее наблюдать откуда придут жалобы.

Кстати по RB2011 помойка плачет, понаблюдай за CPU, если стабильно больше 50% - меняй на RB5009.

[YgrecK]

Юрий MikroTik, Спасибо за рекомендации.