+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Уязвимость безопасности для Hajime закрыта файрволом.

Уязвимость безопасности для Hajime закрыта файрволом., RouterOS

vijaykumaryadav4u

Guest

24.05.2018 14:43:00

Мой мульти CCR роутер был скомпрометирован. Как справиться с этой проблемой?

/ip firewall filter
add action=tarpit chain=input comment="Добавьте ваш IP в allow-ip в Address Lists." dst-port=30553 protocol=tcp
add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input comment="Уязвимость Hajime закрывается этим фаерволом." packet-size=1083 protocol=icmp
add action=accept chain=input comment="Пожалуйста, обновите RouterOS и смените пароль." src-address-list=allow-ip
add action=drop chain=input comment="Благодарности принимаются через WebMoney Z399578297824" dst-port=53 protocol=udp
add action=drop chain=input comment="или BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1" dst-port=53,8728,8729,21,22,23,80,443,8291 protocol=tcp

/system note set note="Уязвимость Hajime закрыта этим фаерволом. Пожалуйста, обновите RouterOS. Благодарности принимаются через WebMoney Z399578297824 или BTC 14qiYkk3nUgsdqQawiMLC1bUGDZWHowix1"

Wolfraider Guest	#2 0 22.06.2018 13:08:00 Проверьте, включено ли у вас API. При необходимости включите брандмауэр. Если он не нужен — отключите. Вот так они и получают доступ к устройству.

pwuk Guest	#3 0 11.06.2018 19:42:00 Это довольно тревожно — вас взломали через API, пока вы использовали прошивку, более новую, чем версия v6.38.5?

solelunauno Guest	#4 0 18.06.2018 10:21:00 Также был изменён пароль «admin», и был добавлен новый пользователь с именем «Admin».

mmuniz

Guest

21.06.2018 22:06:00

Вчера взломали несколько Mikrotik, поэтому я обновился до ROS 6.40.8, применил фильтр для ip-сервисов и отключил http и https. А сегодня меня опять взломали, пришли те же сообщения с заметкой: "Уязвимость для Hajime закрыта брандмауэром. Пожалуйста, обновите RouterOS. Благодарность принимается на WebMoney Z399578297824 или BTC 14qiYkk3nUgsdqQawiMLC1bUGD". Какая версия ROS действительно закрывает эту дырку?

msatter Guest	#6 0 21.06.2018 23:26:00 Так много портов: https://forum.mikrotik.com/viewtopic.php?f=21&t=134776&start=50#p665608 А вы проверяли, какие сервисные порты открыты? И меняли ли вы имя пользователя и пароль после восстановления?

vecernik87

Guest

21.06.2018 23:48:00

Знаю, что это может показаться глупым, но всё же важно спросить: кроме смены пароля, о которой упомянул Msatter, вы сбросили или проверили всю конфигурацию? Если вы просто обновили ROS, добавили пару правил для файрвола и оставили остальную настройку без изменений, там может что-то прятаться. Даже это сообщение может оказаться просто остатком после предыдущего взлома. Трудно сказать наверняка, но если есть подозрение, что уязвимость всё ещё открыта, стоит подумать обо всех возможных вариантах.

mmuniz Guest	#8 0 22.06.2018 00:55:00 Я действительно старался проверить, что было в новой конфигурации, и удалить это до обновления, и после перезагрузки это сразу не появилось, может быть, оно заразило файл резервной копии?

karlisi Guest	#9 0 22.06.2018 09:30:00 Вы восстановились из файла .backup, а не из резервной копии конфигурации (.rsc файл)?

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры