+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Роутер заражён вирусом Coinhive.

Роутер заражён вирусом Coinhive., RouterOS

underwaterhp93

Guest

31.08.2018 08:23:00

Мой роутер заражён вирусом. Он использует веб-прокси, чтобы создавать ошибки на сайтах и майнер криптовалюты, когда я открываю любой сайт. Также создаёт ошибочный HTML-файл, скрипт (для загрузки HTML-файла), добавляет пользователя FTP и включает SSH и Telnet. Я пытался удалить все error.html, mirotik.php и скрипты, удалить всех пользователей, кроме admin (пароль сменил), отключить всё, кроме Winbox. Я также обновил прошивку до последней версии. Но после этого ничего не изменилось, вирус возвращается. В логах вижу, что атака идёт через Telnet и SSH, используя пользователя FTP. Кто-нибудь, помогите, пожалуйста. Спасибо, что прочитали, и извините за мой плохой английский.

yalex

Guest

07.10.2018 20:50:00

Это не помогло: https://blog.mikrotik.com/security/winbox-vulnerability.html У меня роутер (rb1100ahx2) с RouterOS версии 6.43, и я использую последнюю версию Winbox, но все мои сайты на Windows и Linux серверах периодически показывают заражение вирусом coinminer.ah. Я выполнил все шаги из вашего блога и обновился до версии v6.44beta14, но проблема осталась. Что вы имеете в виду под этим: «В данный момент нет точного способа понять, были ли вы затронуты»? Мне кажется, что роутер заражён, потому что последние 24 часа я думал, что вирус на моих веб-серверах, но никаких проблем там не обнаружил. Я также экспортировал конфигурацию в файл и не нашёл никаких SOCKS-прокси. Помогите, пожалуйста, решить проблему, у нас много сайтов в сети, и клиенты очень злые из-за этого.

jspool

Guest

08.10.2018 02:46:00

Если когда-либо была взломана или подозревалась во взломе, тогда нужно сделать Netinstall последней версии RouterOS. Используйте инструмент для захвата пакетов — так вы сможете сузить источник проблемы, если это не Mikrotik.

R1CH

Guest

08.10.2018 10:04:00

Обновление RouterOS не избавит автоматически от проблемных частей вашей конфигурации, оно только предотвращает будущие уязвимости (при условии, что вы сменили пароли). Очистить роутер предстоит вам самим, рекомендуемый способ — сделать netinstall с чистой, проверенной конфигурацией, либо экспортировать текущую конфигурацию, сбросить настройки к заводским и затем импортировать очищенную конфигурацию.

CZFan Guest	#5 0 09.03.2020 11:32:00 @normis, если я сделаю netinstall заражённого роутера, но оставлю включённым «сохранить старую конфигурацию», а сразу после этого сделаю сброс к заводским настройкам, решит ли это проблему?

normis Guest	#6 0 09.03.2020 11:33:00 Если в старой конфигурации был какой-то скрипт, который устанавливает пароли в вашем роутере и отключает возможность переустановки, он мог это сделать до того, как вы выполните сброс.

anav

Guest

09.03.2020 12:45:00

CZFAN, разве когда-либо давали инструкции оставлять старую повреждённую взломанную конфигурацию? Это вообще логично, ну да ладно. Неужели у тебя момент болезни Альцгеймера или что-то в этом роде? Ты же знаешь, как работают скрипты и всё такое... и ты понимаешь, насколько умны хакеры. А, понял — может, у тебя уже коронавирус... https://unhappyhourblog.files.wordpress.com/2013/02/5654_1183601825075_79671_n.jpg

CZFan Guest	#8 0 09.03.2020 17:21:00 @normis, спасибо, все понятно. Был случай, когда я заподозрил, что устройства были заражены, сделал netinstall, но так и не проверил, включена ли опция «keep old config». Ещё интересно, что AVG обнаружил вирусы в бинарных файлах резервных копий, созданных до netinstall именно этого устройства.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры