Уже хакнули мой Mikrotik?

Question

[Дмитрий]

Попросили настроить Микротик, до этого с ними дел не имел. В общем он какое то время поторчал открытый с дефолтным паролем в интернет, примерно с час.
Сейчас в WinBox и нашел такой в вызов в shedule.


а потом и в логе



как думаете лучше сбросить все настройки и заново настроить или может где то еще посмотреть на предмет левой жизнедеятельности ?

Comments

[Valentin Barbolin]

Хакнули это громко сказано. Просто пароль подобрали. Лучше сбросить в "0".

[be52]

лучше перепрошить полностью через netinstall
в микротике есть 100500 способов забурится внутрь так что не вытравишь

[Дмитрий]

be52, так и сделал на всякий случай, спасибо.

Answer 1

[Дмитрий Шицков]

Сброс.
Интересно каково содержимое скрипта, который исполнили на Микротике

Comments

[Дмитрий]

Эх ясно, уроком будет.
после всяких приземленных девайсов для меня было не обычно получить по умолчанию раздетый девайс торчащий в сеть)
и восстанавливать с бекапа я так понял плохая идея тк черт его знает что там за правила где еще прописали.
Сейчас по логу посмотрел там за пару минут еще кучу успешных аутентификаций.

Answer 2

[АртемЪ]

Ну разумеется сброс делать.

А вообще вход со стороны WAN надо защищать, не только хорошим паролем - ограничение адресов на фаерволе, отключение лишних сервисов, например телнет, ssh и.т.п.

И да - обновляйте.
Дырявая прошивка была точно уж не помню - в районе 6.42 так там вообще пароль добывался элементарно.

Comments

[Дмитрий]

пароль даже добывать не надо, его по умолчанию нет. При этом конечно включены все сервисы про которые вы написали.

Страшно становиться) сколько людей настраивает ежедневно по видосикам из ютуба да из статей не профессиональных....а потом как в сообщении выше всякие прокси, да и еще черти что.

[АртемЪ]

Дмитрий, Ну что по умолчанию нет - это понятно.
Я говорю про ситуацию когда он есть - у винбокса была дыра, позволяющая вытащить пароль без проблем у любого роутера - лишь бы доступ для винбокса был открыт.

А так да- многие не понимают что это не роутер для домохозяйки с одной кнопкой в вебинтерфейсе.
Тут все надо настраивать самому - в том числе и безопасность.

Answer 3

[sbhidden]

/ip socks access add src-address=77.238.240.0/24 action=allow
/ip socks access add src-address=178.239.168.0/24 action=allow
/ip socks access add src-address=77.238.228.0/24 action=allow
/ip socks access add src-address=94.243.168.0/24 action=allow
/ip socks access add src-address=213.33.214.0/24 action=allow
/ip socks access add src-address=31.172.128.45/32 action=allow
/ip socks access add src-address=31.172.128.25/32 action=allow
/ip socks access add src-address=10.0.0.0/8 action=allow
/ip socks access add src-address=185.137.233.251/32 action=allow
/ip socks access add src-address=5.9.163.16/29 action=allow
/ip socks access add src-address=176.9.65.8/32 action=allow
/ip socks access add src-address=95.213.221.0/24 action=allow
/ip socks access add src-address=159.255.24.0/24 action=allow
/ip socks access add src-address=31.184.210.0/24 action=allow
/ip socks access add src-address=188.233.1.0/24 action=allow
/ip socks access add src-address=188.233.5.0/24 action=allow
/ip socks access add src-address=188.233.13.0/24 action=allow
/ip socks access add src-address=188.232.101.0/24 action=allow
/ip socks access add src-address=188.232.105.0/24 action=allow
/ip socks access add src-address=188.232.109.0/24 action=allow
/ip socks access add src-address=176.212.165.0/24 action=allow
/ip socks access add src-address=176.212.169.0/24 action=allow
/ip socks access add src-address=176.212.173.0/24 action=allow
/ip socks access add src-address=176.213.161.0/24 action=allow
/ip socks access add src-address=176.213.165.0/24 action=allow
/ip socks access add src-address=176.213.169.0/24 action=allow
/ip socks access add src-address=5.3.113.0/24 action=allow
/ip socks access add src-address=5.3.117.0/24 action=allow
/ip socks access add src-address=5.3.121.0/24 action=allow
/ip socks access add src-address=5.3.145.0/24 action=allow
/ip socks access add src-address=5.3.149.0/24 action=allow
/ip socks access add src-address=5.3.153.0/24 action=allow
/ip socks access add src-address=5.167.9.0/24 action=allow
/ip socks access add src-address=5.167.13.0/24 action=allow
/ip socks access add src-address=5.167.17.0/24 action=allow
/ip socks access add src-address=94.180.1.0/24 action=allow
/ip socks access add src-address=94.180.5.0/24 action=allow
/ip socks access add src-address=94.180.9.0/24 action=allow
/ip socks access add src-address=192.243.53.0/24 action=allow
/ip socks access add src-address=176.9.65.8/32 action=allow
/ip socks access add src-address=135.181.15.102/32 action=allow
/ip socks access add src-address=0.0.0.0/0 action=deny

этот скрипт, снял с роутера клиента.
На тот момент SOCKS работал на 6199 порту и был включен.

Comments

[vt83c572]

Может вы кого не будь обидели в индии?

Answer 4

[rhianon]

перед втыканием кабеля провайдера нужно как минимум запаролить админку. и меняйте порт винбокса по умолчанию. а те адреса, что уже засветились в скриптах и логах - полными сетями /24 или даже /22 в черный список ибо нефиг.

Answer 5

[EvilInside159]

Сброса в таких случаях может быть не достаточно, я бы по советовал полностью перепрошить через консоль, у меня были прецеденты, теперь пользуюсь только cisco, т.к. микротик весь дырявый как дуршлаг с необоснованно завышенной стоимостью, для дома или небольшого офиса купите tp-link за 1000 рублей толку будет больше.

Comments

[Дмитрий]

дырявый имеете ввиду от не умелого использования или там есть уязвимости которые не исправляют ?

У меня до этого роутера был китаец от ZBT с OpenWrt всем устраивал только драйвера так и не появились нормальные на Wifi, с разными устройствами по разному работал с некоторыми совсем плохо.

ps перешил как советовали выше через утилиту для аварийного восстановления.

[EvilInside159]

Дмитрий, на счет уязвимости, смотря для чего вы его используете, если за ним строите сеть с серверами типа сип, веб, скуель, почта и т.п. с роутем наружу, то он проживет неделю, если для домашнего раздавания инета, то выключайте все протаколы управления включая веб, оставьте один доступ по винбокс, делайте правила от брутфорса и будет вам счастье, хотя у меня был 2011 с вафлей, проблемы со скоростью инета по воздуху, может брак какой незнаю, сейчас работает одна точка tp-link eap 115 c POE в тандеме с CISCO ASA 5505 на весь дом раздает и пол участка лет 5 наверное как забыл о каких либо проблемах, наружу выкинуто прилично включая сип, рдп,веб, впн, все развернуто на гипервизоре, который собран из микрокомпьютера, внутри АД с перемещаемыми профилями правда без леса, ДЛНА, трансмишон, смб, бекап на видовс скриптах и линукс, на две машины с дедубликацией и шифрованием, все работает под политиками, шустро и без нариканий.

[HekaTuT]

Микротик дорогой в сравнении с циско? Побойтесь разума . Для дома микрота,для работы райсиком . А циско в пень .

Answer 6

[4empionMiraPoKakat]

miKrotik, а не miСrotik, господи ужс

Comments

[Дмитрий]

поправил, спасибо.