Файлы скриптов Mikrotik.php

Привет, Normis, прежде чем закрыть эту тему, мне не важно, как они проникли, а что именно они хотят. Как видно из обсуждения http://forum.mikrotik.com/t/fetch-file-mikrotik-php-automatically-downloading-in-mikrotik-devices/121700/1, за последние несколько дней большое число устаревших устройств Mikrotik было взломано. (не виню Mikrotik, сами должны были обновиться). Как сказал Normis в последнем сообщении, хакер мог собрать пароли заранее и использовать их сейчас. Мы предприняли меры: удалили скрипты, планировщики, отключили IP>Socks, затем с помощью фильтра фаервола заблокировали весь входящий WAN-трафик с непроверенных источников и обновились до версии 6.40.8. Я понимаю, что чистый Netinstall был бы лучшим вариантом, но у нас устройства разбросаны по всей Европе, так что это легче сказать, чем сделать. Но мне интересно, в чём была цель всего этого? Вот что я нашёл (я не эксперт по взлому): Планировщик запускает скрипт каждые 30 секунд. Скрипт скачивает mikrotik.php с нескольких IP-адресов. Есть разные версии взлома или несколько этапов, чаще всего я находил script3_ в списке скриптов, но однажды обнаружил и script1_. (удалил без подробного изучения… извиняюсь, была паника). Источник, откуда скачивался mikrotik.php, исчез, так что выяснить содержимое файла невозможно. IP > Socks включен на порту 4145. [ред.] — все правила drop в фильтрах фаервола отключены. Это всё, что мы нашли. Может, кто-то заметил что-то ещё? Если у злоумышленников уже были данные для входа, зачем им был нужен mikrotik.php? И заразил ли он устройство на уровне shell? (если да, то исправляет ли обновление эту проблему?) После предпринятых мер странного поведения не замечено, но прошло всего 24 часа. Кто-то продвинулся дальше и знает, что именно изменили в устройствах? С уважением, Ammer.