Перейти до

Ломанули Mikrotik

rliskov

Автор: rliskov,
в Цілісність системи

 Share Подписчики 1

Рекомендованные сообщения

rliskov

rliskov 27

Опубликовано:
Опубликовано:

Всем Доброго дня! 

Обнаружил у себя в сети взломанный MikroTik RouterOS 6.38.3. Ниже скрины что было сделано взломщиком. Не силен в скриптах, какую цель преследовал взломщик.

image.thumb.png.58e32ac31438e5a59b6c1146d43381de.png

 

 

image.thumb.png.d99b592ef204707377801de6517ff945.png

 

image.thumb.png.226d445342fbd068650d303ee3f2b092.png

 

 

image.png.487e8e727c9bd5900c0c7f83f87e9a8a.png

 

image.thumb.png.196d02194c0d351bb90986dc1c804362.png

 

image.png.26b87de77ea47dccc1c77342bb8a646b.png

 

 

image.png.40fe64dc9cce95d14907a97ae0a5f6d6.png

 

image.png.ce505b7d39bc3f8edd6e135db8550320.png

 

 

 

Ссылка на сообщение
Поделиться на других сайтах
tkapluk

tkapluk 912

Опубліковано:
Опубліковано:
  В 26.10.2018 в 13:26, mixtery сказав:

https://habr.com/post/424433/

Expand  
  Цитата

Почему не устроился на работу по профилю? Те кто в нашем городе покупает mikrotik много платить ЗП не могут. Те, кто может мне платить достойную ЗП — покупают cisco

Expand  

?

Ссылка на сообщение
Поделиться на других сайтах
tkapluk

tkapluk 912

Опубліковано:
Опубліковано:
  В 26.10.2018 в 13:38, rliskov сказав:

По настройкам фаервола, что взломщик Робин Гуд. А зачем веброкси и что скрипты делали?

Expand  

Скрипты конфиг автообновляют. 

Ссылка на сообщение
Поделиться на других сайтах
IRSID

IRSID 40

Опубліковано:
Опубліковано:

что там размышлять? резет настройкам, залить старые настройки по быстрому и перебить пароли... а там лопатить файерволл и блочить входящие

Ссылка на сообщение
Поделиться на других сайтах
rliskov

rliskov 27

Опубліковано:
  • Автор
Опубліковано:
  В 26.10.2018 в 16:38, sanyadnepr сказав:

А что в system package ?

Expand  

Тоже промелькнула такая мысль но не придал значения.... по идее это не должно занимать место на диске. Ресет конечно это панацея но хочется вникнуть поглубже... Благо микротик абонентский взломали.

image.png.40102cfe9ceeada1c4457e28941bc790.png

Ссылка на сообщение
Поделиться на других сайтах
Ondp

Ondp 47

Опубліковано:
Опубліковано:

Меня за неделю взломали 3 раза! Удалял все время весь этот мусор, обновится на новую прошивку даже не мог (была прошлогодняя). Помог только Ресет и о Боги новая прошивка установилась!

Теперь на всякий случай закрыл всевозможный доступ из вне и сплю спокойно.

Так что нужно частенько обновлятся))

 

Ссылка на сообщение
Поделиться на других сайтах
tkapluk

tkapluk 912

Опубліковано:
Опубліковано:
  В 26.10.2018 в 21:26, Ondp сказав:

Теперь на всякий случай закрыл всевозможный доступ из вне и сплю спокойно.

Expand  

Нужно логи мониторить. 

Ссылка на сообщение
Поделиться на других сайтах
Ondp

Ondp 47

Опубліковано:
Опубліковано:
  В 27.10.2018 в 09:58, tkapluk сказав:

Нужно логи мониторить. 

Expand  

Взламывали походу через порты Винбокса и веб, у меня был 8888 для веба, менял на другой, не помогло)

Оставил только pptp

Ссылка на сообщение
Поделиться на других сайтах
Ondp

Ondp 47

Опубліковано:
Опубліковано: (відредаговано)
  В 27.10.2018 в 21:10, melvin сказав:

В ip->serices 

Повыставляйте адреса, с которых можно использовать тот или иной сервис.

Expand  

Так и сделал) +впн

Відредаговано Ondp
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 1
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

×
×
  • Створити нове...