Fórum Root.cz

Hlavní témata => Sítě => Téma založeno: zakaznikISP 06. 06. 2021, 09:25:19

Název: Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 06. 06. 2021, 09:25:19
Dobrý den,
Router (klientská jednotka pro připojení k Wi-Fi) ve vlastnictví a správě ISP, přes kterého se připojuji je napaden nějakým škodičem. Viz příloha.
Je tam skript, který každý den vytvoří VPN Interface s uživatelem user4766994 a heslem a stahuje to nějaký soubor 7wmp0b4s.rsc + se tam cpe někdo ze 146.88.240.4, to je škodlivá adresa podle abuseipdb. Dále nefunguje DNS na routeru. Klientská jednotka ISP je na veřejné IP a jsou v ní přesměrovány určité porty na adresu mého routeru za touto KJ. Jiný firewall tam poskytovatel nemá (buď ho smazal útočník, anebo a to spíše tam nikdy žádný nebyl ISP nastaven).
Za klientskou jednotkou je můj vlastní router - také Mikrotik, kde mám nastavený silný firewall, směrování portů na jednotlivá koncová zařízení, maškarády, na některé porty a administraci svého routeru přes web povolené přístupy jen ze známých IP adres, mám tam blacklisty atd. Na svém routeru mám nastavené také svoje DNS pro svou vnitřní síť (nic.cz a google), SNMP atd... Myslím si, že svůj router mám zabezpečený mnohem, mnohem lépe, než ISP ten svůj. Každopádně, můj router je čistý. Z 95 procent se připojuji zvenku ke koncovým zařízením za oběma routery, není to tak, že bych připojení používal k nějakému brouzdání po netu. Občas je za klientskou jednotkou i SOHO Wi-Fi krabička (wifi router) ale to jenom zřídka kdy (vždy tak dva dny za dva měsíce), ale i tam mám nastavené vlastní DNS.

Oficiálně nemám do klientské jednotky poskytovatele přístup, on mi jenom směruje dohodnuté porty a další administraci si dělám sám u sebe. Přesto ale ISP jednou nechal v mém PC heslo a já se do jeho zařízení dostanu. Upozorňoval jsem ho, že je s jeho KJ něco špatně - nefunguje mu DNS, nešlo se mu tam připojit zvenku přes winbox z čehož nejprve obvinil mě (nevím, jak by to mohla být moje vina), ale teď je mi jasné, že winbox službu mu tam vypnul také ten útočník. ISP svůj router (KJ) prošel a řekl mi, že napadený není a s DNS, že mi neumí pomoci, že on tam vidí nastavené jeho DNS adresy a když to nefunguje ať si používám svojí DNS za jeho routerem. Já ale vím, že napadený je. Co teď s tím?

Zatím jsem v tom ve službách vypnul FTP, vypnul SSH, v interfaces zakázal to lvpn zařízení (pouze deaktivoval, protože když ho smažu, tak ten skript tam vytvoří nové aktivní), uživateli admin jsem dal právo jenom read. Pakety z té 146.88.240.4 z logu zmizely. Stahování souboru a ten skript tam ale stále skáče. Ve skriptech v menu ale nic není. A dal jsem aktualizovat verzi OS klientské jednotky, předtím tam bylo snad něco 4.xx? Ještě uvažuji, že bych změnil admin heslo. Heslo účtu ISP ale nezměním, protože ho neznám, jen ho mám uložené v jednom ntb. V uživatelích je ale nějaký bordel - v users je jen admin, netgear a r31337?? Uživatel ISP tam není, nebo je skrytý? ten je vidět jen v aktivních uživatelích. Co teď s tím, když vím, že zařízení poskytovatele je napadené a on se o tom se mnou nechce bavit? Je několik možností:

1) nechat to být a řešit si jenom svůj router. Přemýšlím o tom, jestli a do jaké míry jsou ohrožena má zařízení vnitřní sítě? Může někdo třeba zachytávat hesla pro přístup ke koncovým zařízením, odchytávat provoz, dostat nějaký škodlivý kód i dál dovnitř mojí sítě? Já myslím, že ne, ale nejsem odborník na internetovou bezpečnost... ten můj router za KJ je čistý a zabezpečení v něm používám myslím dobré, to stejné platí o té příležitostné SOHO Wi-Fi. Je také možné, že řeším jednu "krabičku" a ISP má takto zamořenou celou svou síť a všechny rádiové body před touto krabičkou.

2) pokusit se nějak zrušit ten skript, změnit heslo adminovi nebo povolit přístup jen zevnitř, nastavit si tam sám nějaký firewall a ISP o tom neříct. Stejně mi minule vynadal, že se tam nemůže zvenku dostat, tak co. Nebo co dál, kromě výše uvedeného (deaktivace lvpn, admin-read, ssh a ftp) bych měl ještě sám bez jeho pomoci udělat?

3) Ideální by byl nový netinstall, ale to nepřipadá v úvahu, já už bych ty přístupy do Wi-Fi sítě ISP potom sám nikdy nenastavil. A asi nejhorší možnost by byla to rozvrtat a pak přijít za ISP.

4) Upozornit znovu ISP na to, že vím, že je jeho zařízení napadené. Ale to se nejspíše nesetká s úspěchem...nejprve mi vynadá, že mu lezu do jeho zařízení a potom řekne, že on má vše v pořádku.

Co s tím? jak to mám řešit? Děkuji moc za pomoc.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: IDontCare 06. 06. 2021, 10:48:49
4] Posli vsechno ISP. Detailni popis,  screeny, logy etc. Vsechno co si napsal sem.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: pruzkumbojem 06. 06. 2021, 11:32:00
precti si poradne co napsal. jaka byla reakce ISP na prvni ohlaseni problemu. jaka si bude reakce na vic detailu, lepsi?

4] Posli vsechno ISP. Detailni popis,  screeny, logy etc. Vsechno co si napsal sem.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: IDontCare 06. 06. 2021, 13:21:11
precti si poradne co napsal. jaka byla reakce ISP na prvni ohlaseni problemu. jaka si bude reakce na vic detailu, lepsi?

4] Posli vsechno ISP. Detailni popis,  screeny, logy etc. Vsechno co si napsal sem.

To zarizeni neni jeho. Pokud to nezabere, tak bych dosel k "ISP" a vyridil si to osobne. Prenastavenim ciziho zarizeni si maximalne koledujes o poruseni smlouvy a ukonceni poskytovani sluzeb. Ostatne prejit k jinemu wifi poskytovateli je take varianta.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: neregistrovany 06. 06. 2021, 13:42:04
"Router (klientská jednotka pro připojení k Wi-Fi) ve vlastnictví a správě ISP, přes kterého se připojuji je napaden nějakým škodičem."

Muzu se zeptat proc to resite?
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: _Jenda 06. 06. 2021, 15:15:32
Muzu se zeptat proc to resite?
Třeba mu není lhostejné, že někdo (ještě k tomu způsobem, že z toho může mít problémy on, protože tam všude bude figurovat „jeho“ IP adresa) provozuje botnet, který třeba rozesílá spamy, hostuje podvodné stránky a tak.

Já teď řeším něco podobného. Ukončil jsem spolupráci s jedním ISP a ten je teď už půl roku bez admina. Co dělat až začne rozesílat spam? Asi bych napsal na abuse adresu upstream poskytovatele, že jeho klient nezvládá svoji práci.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: johanson14 06. 06. 2021, 16:09:47
Urobte si prieskum či môžete o tomto vôbec ISP informovať. Nabonzovať sám seba z prieniku do zariadenia keď k tomu nemáte oprávnenie sa vám nemusí vyplatiť. A je jedno akým spôsobom ste získal heslo. Sťažovať sa môžete len v prípade ak by ste dôkaz pochádzal z vašej siete či už routra, alebo zariadení za ním, prípadne ak niečo nie je podľa zmluvy.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: Medo77 06. 06. 2021, 17:33:43
Vycisti napadnuty mkt, zabezpec ako svoj a tvar sa, ze ty nic, ty muzikant. Vobec by som to neriesil dalej, ked ma takyto pristup a vies, ze klame.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 06. 06. 2021, 18:28:07
Proč to řeším??
1) mám strach o svá  zařízení za routery ke kterým zvenku přistupuji. Píšu, že nejsem odborník na internetovou bezpečnost a nevím jestli se to z napadeného routeru může nákaza dále rozlézt a napadnout má vnitřní zařízení, nahrát do nich škodlivý kód, odchytávat hesla atd... já si myslím, že se nic stát nemůže, z toho napadeného routeru je maximálně vidět můj vnitřní router a ten se dá zvenku administrovat pouze z jedné vnější IP přes web. Navíc nejsem tak naivní, aby tam byl admin účet s full právy.... ale umíte mi Vy, nebo někdo jiný tuto obavu o koncová zařízení a jejich napadnutí bezpečně vyvrátit?

2) přesně jak píše _Jenda, není mi to lhostejné, je v tom má veřejná adresa, ten červíček s tím, že prostě "moje" zařízení pro přístup k internetu je součástí něčeho nekalého, vrtá se v tom někdo cizí, prostě ve svědomí hlodá... ale chápu váš přístup. Jakobych slyšel toho svého ISP... jde vám internet? jde, tak proč to řešíte.... co na tom, co na tom, že nejde jeho DNS...natavte si tam v počítači 8.8.8.8 a je to, že? Navíc mě už tak trochu vytáčí, že já - sice slaboproudař, ale o sítích vím prd a nedělám v nich si po pár hodinách studia umím nastavit a hlavně ohlídat router líp než ISP, který je profík. A tak když on mi s tím nepomůže, si holt musím pomoci sám.

Najde se prosím někdo, kdo mi pomůže dát to trochu do pořádku a nebude mě odsuzovat za "průnik do zařízení ISP"? Klidně i za nějakou odměnu. Já bych za to zaplatil i tomu ISP, kdyby to bylo v pořádku. Jenže ono je to těžké, když se se mnou nikdo nechce moc bavit.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: tomasCZE 06. 06. 2021, 18:51:21
schválně bych tvůj původní příspěvek publikoval na ispforum.cz (https://telekomunikace.cz) a uvidíš, co ti na to odpoví ostatní ISPíci
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: FKoudelka 06. 06. 2021, 18:52:20
Jediné pořádné řešení by dle mne byl factory reset, ale není to Vaše zařízení. Upozornil bych je,bez rizika pro sebe, že tam mají škodnou a když vás pošlou rovně, pošlete je tamtéž. Snad nejsou jediný provider na světě. Koneckonců jste koncový zákazník a máte nárok i na bezpečnost, bez toho, abyste doma stavěl rovnák na vohejbák.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: johanson14 06. 06. 2021, 19:13:54
=> kdo mi pomůže dát to trochu do pořádku a nebude mě odsuzovat za "průnik do zařízení...
Nerobte z nás spolupáchateľov. Ak si to potrebujete vyriešiť, činte tak vlastnými vedomosťami.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 06. 06. 2021, 21:34:53
Nerobím z nikoho spolupachatele - poskytovatel mě už jednou nařknul z toho, že jsem mu v KJ změnil heslo a proto se tam nemůže dostat přes winbox...jenže, já to heslo neměnil, to mu v tom ten winbox vypnul ten útočník...a taky mě kvůli té potencionální změně hesla nenechal zavřít, ba ani nepopotahoval po soudech, ani ve vzteku neroztrhal smlouvu... jen je prostě laxní...a dokud mu do jeho vysílače nenarazí vrtulník, tak nic dělat nebude, vše je v pohodě a za všechno mohu já......a popravdě ani nepotřebuji, aby mi na dalším fóru nadávali další a další ISP. Stačí ty podrážděné reakce tu:-) asi si nerozumíme, nejde mi o to "nabourávat" poskytovateli jeho router, mám za tím dost drahá koncová zařízení (a poměrně nestandartní) k těm mým obavám o ně se zatím nikdo nevyjádřil....  a bohužel je to ve vzdálené odlehlé oblasti, kde moc jiných ISP není....a i kdyby, tak stejně do doby, než bych se domluvil s jiným ISP, tak ta zařízení musí být za tím napadeným routerem.... Nezlobte se, ale já tu lokalitu ani zařízení za tím více upřesňovat nebudu... pořád věřím tomu, že se to nějak vyřeší a ISP nebudu muset měnit.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: mikesznovu 06. 06. 2021, 22:57:35
našel jsem toto. https://forum.mikrotik.com/viewtopic.php?t=175842&p=861212 , dole jsou 3  odkazy na další topicy

Ono čpí to, že to heslo ses ty nějak dozvěděl. Může to znamenat, že to heslo "říká každému na potkání" nebo "ho má napsané"  na firemním notebooku (jak ty geekové maj nálepky fedory, anarchie, pythonu na víku notebooku)
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: czAtlantis 07. 06. 2021, 00:06:29
Očividně se do toho MK dostaneš, tak si udělej zálohu přes /export, totálně to vyresetuj Netinstallem a pak to nastav podle té zálohy znova. A ideálně jeď řádek po řádku a přemýšlej jestli je to legitimní nastavení nebo je to něco co zbylo po tom "viru"...
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: neregistrovany 07. 06. 2021, 04:12:24
Proč to řeším??
1) mám strach o svá  zařízení za routery ke kterým zvenku přistupuji. Píšu, že nejsem odborník na internetovou bezpečnost a nevím jestli se to z napadeného routeru může nákaza dále rozlézt a napadnout má vnitřní zařízení, nahrát do nich škodlivý kód, odchytávat hesla atd... já si myslím, že se nic stát nemůže, z toho napadeného routeru je maximálně vidět můj vnitřní router a ten se dá zvenku administrovat pouze z jedné vnější IP přes web. Navíc nejsem tak naivní, aby tam byl admin účet s full právy.... ale umíte mi Vy, nebo někdo jiný tuto obavu o koncová zařízení a jejich napadnutí bezpečně vyvrátit?
Vy nemate na hranici sve domaci site firewall??? To je snad prece uplny zaklad....
 
Citace
2) přesně jak píše _Jenda, není mi to lhostejné, je v tom má veřejná adresa, ten červíček s tím, že prostě "moje" zařízení pro přístup k internetu je součástí něčeho nekalého, vrtá se v tom někdo cizí, prostě ve svědomí hlodá... ale chápu váš přístup. Jakobych slyšel toho svého ISP... jde vám internet? jde, tak proč to řešíte.... co na tom, co na tom, že nejde jeho DNS...natavte si tam v počítači 8.8.8.8 a je to, že? Navíc mě už tak trochu vytáčí, že já - sice slaboproudař, ale o sítích vím prd a nedělám v nich si po pár hodinách studia umím nastavit a hlavně ohlídat router líp než ISP, který je profík. A tak když on mi s tím nepomůže, si holt musím pomoci sám.
Neni to vas router, je to zarizeni v majetku a sprave vaseho ISP. Za jeho cinnost nejste v nejmensim odpovedny. Ani ta IP adresa neni vase, v RIPE je jiste napsana na vaseho poskytovatele (nebo nekoho dalsiho).
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 07. 06. 2021, 06:13:36
Neregistrovaný:
Budu se opakovat, ano mám tam další svůj router se svým firewallem...píšu to hned na začátku... narozdíl od ISP, který firewall nemá žádný.....a narozdíl od možná 90 procent dalších jeho zákazníků, co mají PC hned za tou KJ.

Teď ještě prosím o tu akademickou debatu, co je dobrý a dobře nastavený firewall, který ochrání před zamořenou sítí ISP.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: Martin H. 07. 06. 2021, 07:07:09
Neregistrovaný:
Budu se opakovat, ano mám tam další svůj router se svým firewallem...píšu to hned na začátku... narozdíl od ISP, který firewall nemá žádný.....a narozdíl od možná 90 procent dalších jeho zákazníků, co mají PC hned za tou KJ.

Teď ještě prosím o tu akademickou debatu, co je dobrý a dobře nastavený firewall, který ochrání před zamořenou sítí ISP.

Zastanu se tě. Napadený MK WifiPoint může být problém.  Třeba... ty si dáš pro jistotu DNSky na 8.8.8.8 a zlý MK v cestě ti to přepíše na nějaký jiný, který ti bude podstrkovat jiné IP pro tvé adresy.
Nebo, jak píšeš ... bude se snažit chytat hesla - co když část provozu "unese" někam jinak, co když se bude tvářit jako MITM ...

Rada drahá. Navíc, pokud je napaden jeden, může jich mít napadených v sítii více.

Zkus se (asi ideálně osobně) nabídnout, že jim pomůžeš s řešením problému. Třeba jeho neochota pramení z malé znalosti a ty na ně působíš jako namachrovaný prudič. Zkus na ně zapůsobit jako někdo, kdo chápe jejich problémy a může a chce jim pomoci.

Pokud ani pak nebude svolný a nic neudělá a ty nemůžeš změnit operátora, pak bych linku považoval za kompromitovanou a jediný bezpečný provoz by byl, že by jsi měl někde v internetu jiný důvěryhodný koncový bod (třeba nějaký VPS hosting s IPV4 a root účtem) a nasměroval veškerý provoz ze svého MK přes VPN na tento koncový bod a z něj teprve do netu. V opačném případě si opravdu nemůžeš být jistý, co se s provozem skrze ten MK bod děje.
A samozřejmě uvažoval o změně ISP (neříkej mi, že u Vás nefunguje xDSL).

To bezpečné nastavení: rčitě tu jsou i fundovanější, ale za mě:  admin/ReadOnly, FW IN/FWD - kromě Related, Established jen to opravdu nejnutnější, zbytek DROP. Vypnout všechny služby, co nepoužíváš - osobně mám ve službách nastaveno, že jsou (mimo nastavení FW) dostupné jen pro interní adresy. Pokud nastavíš jakoukoliv službu ven (L2TP/OpenVPN ... o PPTP neuvažuji), zajistit dostatečné heslo. Nezapomenout na IPV6 - doporučuji, pokud jej nepoužíváš, mít modul zaveden a vše dát DROP (IN/OUT/FW=DROP). Bylo by toho jistě více, ale teď po ránu mě víc nenapadá.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 07. 06. 2021, 08:20:30
Pro Martin H.:
Děkuji, stejně jako děkuji všem tady, co chápou můj problém a snaží se poradit.

Ono to není "u mně", je to v kraji kde lišky dávají dobrou noc a k tomu zařízení tam přistupuji dálkově z města, kde DSL samozřejmě mám. To, proč se jedná o "opuštěné zařízení v pustině" má své opodstatnění.... drátová přípojka tam ale určitě není....možná tak satelit, nebo nějaký mobilní operátor.....nechci tu lokalitu ani o jaké zařízení se jedná blíže upřesňovat....pořád se snažím vůči ISP vystupovat nějak korektně...(tohle už je spíše taková zoufalost, kdy už nevím na koho se obrátit...) i když je mi jasné, že ti co tady nejvíc prskají o tom, že je to zločin, nemám právo ISP nic vytýkat a mám si poradit sám... případně, že jsem bl.bej, protože už každá bába ve vesnici na horách má firewall, který levou zadní administruje a já to moc řeším, by byli ti první, kteří by na mém místě všude psali jméno ISP, případně by se s ním soudili za ohrožení jejich zařízení.....

Uvedená pravidla na tom svém druhém routeru samozřejmě používám + ještě i další.... Na většinu portů je třeba přístup jen ze známých IP atd.. člověk ale musí být ve střehu....když jsem po ISP chtěl aby mi celou veřejnou adresu, za kterou platím, hodil 1:1 až na můj router, že se o to budu starat sám, tak to odmítl z důvodu bezpečnosti....je vtipný, že já to mám v pořádku a on má svůj router napadený a nakonec s tím mám ještě víc starostí.....

Unesení části dat někam jinam, nebo odchytlé nějaké heslo bych v nejhorším asi ještě přežil... nepředstavitelné by bylo, kdyby se červi uhnízdili v koncových zařízení...ale to se snad nestane....v logu ze svého routeru nevidím žádnou nestandardní komunikaci zevnitř mé sítě...nevím, co více ještě hlídat.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: messagebus 07. 06. 2021, 08:24:29
Co kdyz chudak ISP z bohem zapomenuteho kraje se snazi tezit na svych routerech nejake shitcoiny, aby vubec vyzil a ted tohle? :)
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: Karmelos 07. 06. 2021, 08:46:38
Já bych to resetoval do továrního a zavolal ISP, že to nechodí.   
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 07. 06. 2021, 09:04:29
Co kdyz chudak ISP z bohem zapomenuteho kraje se snazi tezit na svych routerech nejake shitcoiny, aby vubec vyzil a ted tohle? :)
:D  :D ....tak aspoň jsem se ve svém zoufalství teď opravdu od srdce zasmál..... :D
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: uwe.filter 07. 06. 2021, 09:21:57
Já bych asi šel cestou konstruktivního prudění :). Vysvětlil bych mu, jak a na co jsem přišel a co bych doporučoval jako náhradu, případně nabídnul, že to s jeho svolením zkusím dát do pořádku. Třeba tou zálohou nastavení, resetem a obnovením zálohy krom podezřelé části konfigurace, jak tu padlo (ale nejsem expert na mikrotik, tak možná tam je ještě nějaká záludnost?). ISP sice může nadávat, že mu lezeš do jeho zařízení, na druhou stranu on tam má problém a měl by ho řešit, a beztak kdyby mu to bylo moc vadilo, tak by už byl změnil heslo, aby ses tam nedostal znovu.

No a kdyby nepomohlo tohle, tak asi zkusit tu zálohu/reset/obnovu, ať se mu to líbí nebo ne :). Úplně správné řešení to není, samozřejmě, ale když jsou podmínky nastavené takhle...
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: xunil 07. 06. 2021, 09:51:59
To asi nebude jedinné zařízení v tomhle stavu toho ISP.
Dle reakce ISP - vyměnit.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: pavel411 07. 06. 2021, 09:55:06
no sahat někomu na byť špatně zkonfigurované železo není zrovna košer akce, do toho bych se nepouštěl, na druhou stranu bych z toho byl poněkud nervózní a nechtěl bych v takové situaci fungovat. Předpokládám, že pokud je ISP pro Vás takhle klíčový, tak ho znáte a víte, s kým se tam dá co a jak řešit a na koho případně eskalovat, pokud to nefunguje, tak bych se podíval jinde - minimálně mobilní operátor by tam fungovat měl, můžete mít ovšem problém s veřejnou IP adresou.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: Screemy 07. 06. 2021, 10:26:06
No ...

asi bych to videl nasledovne :)

Zavolat ISPikovi, rict mu konkretne co jsi objevil, poslat emailem podklady a "dukazy" a navrhnout mu spolupraci nebo minilane zabezpeceni te tve jednotky ....

urcite bych se mu do toho nehrabal i v pripade v jakem jsi ....

dalsi moznost je LTE modem ...

Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: LarryLin 07. 06. 2021, 12:13:15
Tvému ISP napiš zhruba toto:

Zjistil jsem, že váš Mikrotik byl napaden scriptem 7wmp0b4s.rsc. Problém je popsán na oficiálních stránkách Mikrotiku: https://forum.mikrotik.com/viewtopic.php?t=161521 . Je tam popsán i návrh na vyřešení problému.

Rád bych vás tímto poprosil o odstranění problému. Pokud problém nechcete řešit, tak prosím alespoň o potvrzení, že jsem vás o tomto informoval pro případ, že váš Mikrotik s moji veřejnou IP adresou bude rozesílat spam nebo jinak útočit na ostatní zařízení v internetu.

S pozdravem
Franta
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: Medo77 07. 06. 2021, 13:01:41
Aby ste sa necudovali, ked po nahlaseni problemu prislusny ISP prehesluje MKT, a necha to tak, lebo proste dieru nevie zaplatat .. A problem pretrvava ...  Utopia ? Omyl .. Realita ... Najst nieco na nete a bohapusto copy&paste, ved to funguje ...  Ale prispevok nado mnou sa mi paci .. Zicher je zicher .. Ked sa ta budu pytat, odkial vies heslo, povedz, ze ho tam nechal na papieriku ich technik kedysi davno ...
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 07. 06. 2021, 13:13:29
No tak odpověď od ISP nepřekvapila...i když byla tentokrát mimořádně rychlá. Opakovaně mi sdělují, že na jejich straně je vše funkční a v pořádku a jestli mám jakýkoliv problém, tak je problém na mojí straně. Dále řeči o rychlosti a pingu. Navíc mě upozorňují, že nesmím dělat žádné screeny z konfigurace jejich zařízení.....  to případné potvrzení, to je také z říše snů...
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: drk22 07. 06. 2021, 13:38:29
Před mnoha a mnoha lety jsem na podobně fungujícího ISP taky narazil. Když odmítli cokoli řešit, tak jsem si našel jiného lepšího a kupodivu i o dost levnějšího a jim poslal výpověď/ukončení smlouvy. Najednou pak chtěli začít hledat řešení to už ale nechtěl já...
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: pavel411 07. 06. 2021, 13:39:14
a to je odpověď od uživatelské podpory nebo od jednatele společnosti?
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 07. 06. 2021, 13:49:26
Uživatelská podpora, jednatel... to je tam to stejné + ještě pár techniků, kluků bez praxe....kdysi tam byl i hlavní technik, s ním se dalo všechno a rozuměl tomu, ten už tam ale nepracuje....ale já nevím, čemu se kdo diví, mně to bylo jasné hned... i přes to, jak tady na mě diskutující prskají něco o pachatelích a trestných činech :-)

Ale to je jedno, spíš bych potřeboval teď analyzovat jak to mohlo ohrozit připojená koncová zařízení... reálně, bez přehánění ani podceňování, potom v tom routeru udělat nějaká nastavení, aby šlo chvilku fungovat a tomu útočníkovi jsem to co nejvíce překazil.... a mám další starost - vybrat nového ISP.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: LarryLin 07. 06. 2021, 13:57:28
to případné potvrzení, to je také z říše snů...
To potvrzení už máš - je to v podstatě jejich odpověď, že je vše v pořádku. Hodilo by se ti v extrémním případě kdyby u tvých dveří zazvonili policajti s obviněním, že se z tvého routeru (IP adresy) odesílalo dětské porno.

S tím potvrzením naléhej hlavně proto, aby si ISP uvědomil svoji zodpovědnost. Věta typu:
Citace
"...to potvrzení potřebuji, abych měl doklad, že jsem vás upozornil na hrozící nebezpečí a také abych nemusel hradit vzniklou finanční škodu, pokud někdo provede hackerský útok prostřednictvím vašeho routeru..."
někdy dokáže udělat zázraky. :)

PS: Když se zakládal nějaký bezpečnostní úřad v ČR na koordinaci proti hackerským útokům, tak jsem si říkal k čemu to je, že o své zařízení se musí starat každý sám, ale jestli je spousta ISP, kteří se ke svému napadanému zařízení chovají, tak nezodpovědně jak popisuješ, tak asi nějaký úřad evidentně potřeba je.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: LarryLin 07. 06. 2021, 14:02:50
... nebo bys mohl začít ještě více tlačit na pilu a odkázat se na nějaký paragraf, který nařizuje ISP, aby své zařízení udržovali zabezpečené a zamezili hrozícím škodám. Pevně věřím, že takový paragraf existuje, ale jestli už pak není lepší vyvíjet energii spíše na hledání nového ISP  :(
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: hahel16625 07. 06. 2021, 15:17:58
to případné potvrzení, to je také z říše snů...
To potvrzení už máš - je to v podstatě jejich odpověď, že je vše v pořádku. Hodilo by se ti v extrémním případě kdyby u tvých dveří zazvonili policajti s obviněním, že se z tvého routeru (IP adresy) odesílalo dětské porno.


Zkus se na to podívat policejníma očima. Já jsem vyšetřovatel, úplně tomu nerozumím, ale to vlastně ničemu (kromě toho, jak zúřadovat vyšetřování). A tady vidím vyjádření odborné firmy (která tomu nepochybně rozumí, když to provozuje a funguje to), že zařízení je v pořádku a nenapadené.
Takže trapný pokus pachatele (pardon, zatím jenom sprostého podezřelého) vyrobit si alibi nevyšel. Čili ze začátku budu rozhodně ISP důvěřovat. Později se třeba zadá nějaký znalecký posudek, ale to celé se bude dělat nad logy ISP, které bude mít týdny a měsíce na to, aby pochopilo, že má problém, že pro něj bude výhodnější zamést stopy, než se trapně přiznat, že se trestná činnost děla kvůli jejich zanedbání.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: M_D 07. 06. 2021, 17:13:05
... nebo bys mohl začít ještě více tlačit na pilu a odkázat se na nějaký paragraf, který nařizuje ISP, aby své zařízení udržovali zabezpečené a zamezili hrozícím škodám. Pevně věřím, že takový paragraf existuje, ale jestli už pak není lepší vyvíjet energii spíše na hledání nového ISP  :(
Jistě, zákon o elektronických komunikacích §98 Bezpečnost a integrita veřejných komunikačních sítí a služeb elektronických komunikací.
Jenomže ono je to kapánek složitější. Podstatné je, co je definováno jako koncový předávací bod mezi zákazníkem a sítí.
Také je prvně nutný předpoklad, zda daný ISP funguje jako veřejná telekomunikační síť, pokud ne, tak se ho tento zákon netýká.
Pokud daný ISP působí jako veřejná telko síť a předávací bod k zákazníkovi je definován až za tento wifi router (metalický Ethernet port) na spoji mezi tímto routerem a routerem zákazníka, tak může jít prudit skrz ČTU - ale pak bude samozřejmě hledat nového ISPíka stejně. :-(
Jestli-že je předávací bod definován před routerem=wifi signál (jestli-že tazatel hovoří o koncové wifi jednotce pro připojení), tak přestože je koncové zařízení majetkem ISP a správu provádí ISP, tak už je to na odpovědnosti zákazníka, co si s daným subjektem nasmlouval a jak si ho ukočíruje. ČTU náleží maximálně kontrola, zda bezdrátová část odpovídá legislativním požadavkům.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: LarryLin 07. 06. 2021, 18:04:12
to případné potvrzení, to je také z říše snů...
To potvrzení už máš - je to v podstatě jejich odpověď, že je vše v pořádku. Hodilo by se ti v extrémním případě kdyby u tvých dveří zazvonili policajti s obviněním, že se z tvého routeru (IP adresy) odesílalo dětské porno.
A tady vidím vyjádření odborné firmy (která tomu nepochybně rozumí, když to provozuje a funguje to), že zařízení je v pořádku a nenapadené....
Asi máš pravdu. Potřeboval by neprůstřelnější alibi než jen potvrzení e-mailem od ISP, že je vše OK.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 07. 06. 2021, 18:35:31
Děkuji za odpovědi, diskuse o legislativě je nepochybně zajímavá, ale já nepředpokládám, že router byl použit k zasílání porna, ani že by přišla policie, ani se nebudu nijak hádat s ISP, tom spíše že bych na něj bonzoval na ČTU... tohle nemám ve zvyku.....byl bych rád kdyby se povedlo diskusi vrátit a probrat to spíše po technické stránce.....

1) z toho co jsem pochopil, tak napadení routeru spočívalo v tom, že došlo k přesměrování DNS a celý smysl napadení bylo zneužití routeru pro těžbu Bitcoinů, je to tak?

2) nevím jak dlouho to bylo, pokud používám svoje DNS adresy na svém routeru a pokud mám svá zařízení za routerem, tak k napadení a indikací koncových zařízení nemohlo dojít, ani nejspíš komunikace nebyla přesměrována na žádné podvodné adresy? Je to tak?

3) co jsem pochopil, tak problém s napadením se týká výlučně Mikrotiků, případně zařízení, které by měly do širokého internetu otevřený SSH port. Je to tak?

4) zařízení, která sice mají pro komunikaci ethernet port a webový server ale neumožňují jednoduchou změnu kódu či firmware prostřednictvím ethernetu by měla být chráněna. Je to tak?

5) co ještě bych měl na tom routeru aspoň provizorně změnit, smazat? Myslím, že už jen to, že jsem adminovi dal jen read musí útočníka, který tam právě přes admina lezl pěkně dopálit, zrušil jsem mu ssh, zrušil jsem mu ten VPN , ještě se pokusím deaktivovat spouštění skriptu....vím, že to určitě není ideální a dostačující, ale jde mi o to vyhrabat se z největšího bahna....
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: LarryLin 07. 06. 2021, 18:40:59
... nebo bys mohl začít ještě více tlačit na pilu a odkázat se na nějaký paragraf, který nařizuje ISP, aby své zařízení udržovali zabezpečené a zamezili hrozícím škodám. Pevně věřím, že takový paragraf existuje, ale jestli už pak není lepší vyvíjet energii spíše na hledání nového ISP  :(
může jít prudit skrz ČTU - ale pak bude samozřejmě hledat nového ISPíka stejně. :-(
Na druhou stranu udělá dobrý skutek. Předpokládám, že napadeny jsou i ostatní routery daného ISP. A tyto routery jsou součástí botnetu a způsobují škody jiným lidem. Kdyby někde u silnice byl natažený ostnatý drát, který poškozuje auta, tak by to většina řidičů nahlásila. Ve virtuálním světě je to (zatím) složitější něco takového nahlásit.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: LarryLin 07. 06. 2021, 18:43:02
tom spíše že bych na něj bonzoval na ČTU... tohle nemám ve zvyku.....
Takže ten ostnatý drát u silnice bys taky nenahlásil jen proto, abys nebyl bonzák?
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 07. 06. 2021, 19:44:48
Včera mi tu skoro všichni nadávali, že jsem proti nebohému ISP a snažím se umravnit jeho krabičku....dnes je zase špatně, že ho nechci nahlásit ČTU...chlapi, dohodněte se:-D....pojďme to prosím rozebrat spíše z té technické a bezpečnostní stránky...
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: pavel411 07. 06. 2021, 20:34:22
tady má každý jiný názor, za své kroky neseš kůži na trh ty a nikdo tady za to odpovědnost nenese, jenom bych rád upozornil na to, že existují i paragrafy o neoprávněném přístupu, např. u par.230
http://zakony.centrum.cz/trestni-zakonik/cast-2-hlava-5-paragraf-230
upozorňuji zejména na odst. 2d, 3b a kdo ví, zda by někdo neprokázal i 4e
u par. 231 odst. 1b

proč se chceš montovat do cizího routeru? Je tvůj nebo jejich? Zkus se zeptat právníka nebo soudce jak tyhle věci chodí, před trestným senátem se ozývají hlášky "ale takhle to dělají všichni" a odpověď - byť většinou nepronesená nahlas - bývá "ale vás za to zavřem"

až bude mít ISP problém se zneužitím napadeného routeru k nějakým útokům a zjistí, že 'ses jim vrtal v routeru, hádej, kdo za jejich problém bude moct a koho udaj' když se po nich začnou vozit?


 
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 07. 06. 2021, 21:22:06
Pavle, mě už potom, co jsem si dnes přečetl nejde o nic jiného, než ochránit si vlastní zařízení....a jak tu někteří psali, klidně jim to pak hodím do továrního nastavení a vrátím..... ale je hezké, jak se tady řeší hlavně právo...
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: LarryLin 07. 06. 2021, 22:08:36
1) z toho co jsem pochopil, tak napadení routeru spočívalo v tom, že došlo k přesměrování DNS a celý smysl napadení bylo zneužití routeru pro těžbu Bitcoinů, je to tak?
2) nevím jak dlouho to bylo, pokud používám svoje DNS adresy na svém routeru a pokud mám svá zařízení za routerem, tak k napadení a indikací koncových zařízení nemohlo dojít, ani nejspíš komunikace nebyla přesměrována na žádné podvodné adresy? Je to tak?
3) co jsem pochopil, tak problém s napadením se týká výlučně Mikrotiků, případně zařízení, které by měly do širokého internetu otevřený SSH port. Je to tak?
4) zařízení, která sice mají pro komunikaci ethernet port a webový server ale neumožňují jednoduchou změnu kódu či firmware prostřednictvím ethernetu by měla být chráněna. Je to tak?
5) co ještě bych měl na tom routeru aspoň provizorně změnit, smazat? Myslím, že už jen to, že jsem adminovi dal jen read musí útočníka, který tam právě přes admina lezl pěkně dopálit, zrušil jsem mu ssh, zrušil jsem mu ten VPN , ještě se pokusím deaktivovat spouštění skriptu....vím, že to určitě není ideální a dostačující, ale jde mi o to vyhrabat se z největšího bahna....
Z toho odkazu na mikrotik.com jsem pochopil, že správné řešení je netinstall (což i sám píšeš v úvodním komentáři). Nevíš kolik malware tam máš (teda oni mají), a jestli si ten malware (co jsi odhalil) vytvořil backdoor, tak budeš bojovat s větrnými mlýny. Pokud nehodláš měnit ISP nebo udělat brutální zásah do cizího zařízení v podobě netinstall, tak musíš:
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: FKoudelka 07. 06. 2021, 22:12:56
Pavle, mě už potom, co jsem si dnes přečetl nejde o nic jiného, než ochránit si vlastní zařízení....a jak tu někteří psali, klidně jim to pak hodím do továrního nastavení a vrátím..... ale je hezké, jak se tady řeší hlavně právo...
Je hezké , jak se snažíš ochránit vlastní zařízení, ale to na co se tě snaží Pavel upozornit, je že bys měl chránit taky sebe před žalobou za zneužití přístupu k výpočetní technice. A ta je reálná, na rozdíl od stíhání ohledně zneužití IP adresy. Ale je to tvoje volba, jestli se jim v tom chceš vrtat.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: _Jenda 07. 06. 2021, 22:16:30
Je hezké , jak se snažíš ochránit vlastní zařízení, ale to na co se tě snaží Pavel upozornit, je že bys měl chránit taky sebe před žalobou za zneužití přístupu k výpočetní technice. A ta je reálná.
Neprojde to pro nedostatek společenské nebezpečnosti.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: M_D 07. 06. 2021, 22:26:05
Tak v tom napadeném routeru může být klidně rozjetá proxy, socks server a další, což ROS umí. A pak přes to může lézt do Internetu zprostředkovaně kde-kdo a kde-co z nejpodivnějších míst, takže ubere na konektivitě, když mu ji to kapánek vytíží. A to vše bude vystupovat pod jeho IP, takže za chvíli bude na hormadě blacklistů a nepošle z té IP mail a ani se nedostane na řadu jiných míst a snadno se mu může stát, že se ta IP dostane preventivně i na odchozí blokace, takže se na ni nespojí z některých sítí, co blokují přístupy k provařeným IP ze svých sítí jako preventivní ochranu.
A pokud mu router těží nějakou měnu, tak mu to ubere i dost a výkonu, protože vše v tom honí přes CPU a výkonu to často nemá nazbyt...
Takže samé pozitiva, co nedávají dobré vyhlídky do budoucnosti, i v případě, že to aktuálně "moc nevadí".
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: FKoudelka 07. 06. 2021, 22:29:47
Je hezké , jak se snažíš ochránit vlastní zařízení, ale to na co se tě snaží Pavel upozornit, je že bys měl chránit taky sebe před žalobou za zneužití přístupu k výpočetní technice. A ta je reálná.
Neprojde to pro nedostatek společenské nebezpečnosti.
Míra společenské nebezpečnosti je jen jedním z kritérií při indiviualizaci výše postihu v rámci dané skutkové podstaty. :-P :-))))
Ne, není to z mé hlavy, ano, dělám si z tebe pr… - drž se linuxu , no pun intended.
Ale je to tak.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: _Jenda 07. 06. 2021, 22:42:08
Míra společenské nebezpečnosti je jen jedním z kritérií při indiviualizaci výše postihu v rámci dané skutkové podstaty. :-P :-))))
Ne, není to z mé hlavy, ano, dělám si z tebe pr… - drž se linuxu , no pun intended.
Ale je to tak.
Není: Trestní odpovědnost pachatele a trestněprávní důsledky s ní spojené lze uplatňovat jen v případech společensky škodlivých, ve kterých nepostačuje uplatnění odpovědnosti podle jiného právního předpisu. Řešilo se to tu v diskuzi o tom, jestli když si z platební karty vyškrábu CVV kód (aby si ho nemohl někdo nakouknutím zapamatovat a pak za mě platit na internetu), tak jsem se dopustil neoprávněného pozměnění platebního prostředku.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: Tomáš G. 07. 06. 2021, 22:45:58
To potvrzení už máš - je to v podstatě jejich odpověď, že je vše v pořádku. Hodilo by se ti v extrémním případě kdyby u tvých dveří zazvonili policajti s obviněním, že se z tvého routeru (IP adresy) odesílalo dětské porno.
dpovědně jak popisuješ, tak asi nějaký úřad evidentně potřeba je.
Dětské porno, PČR, to je všechno totální úlet. CSIRT aktivně provádí monitoring a když zjistí na koncovém zařízení nějaký bezpečnostní problém, tak kontaktuje ISP, ať si to vyřeší s koncákem. Nešlo by tomu jít trošku naproti? Kdyby CSIRT oslovil ISP, že na dané adrese, kterou oni označuji jako bezproblémovou, je nějaký problém, to by bylo stylové. Podobné upozornění jsem už viděl jak od TM, tak i od "vesnického" ISP.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: LarryLin 07. 06. 2021, 23:16:36
To potvrzení už máš - je to v podstatě jejich odpověď, že je vše v pořádku. Hodilo by se ti v extrémním případě kdyby u tvých dveří zazvonili policajti s obviněním, že se z tvého routeru (IP adresy) odesílalo dětské porno.
dpovědně jak popisuješ, tak asi nějaký úřad evidentně potřeba je.
Dětské porno, PČR, to je všechno totální úlet. CSIRT aktivně provádí monitoring a když zjistí na koncovém zařízení nějaký bezpečnostní problém, tak kontaktuje ISP, ať si to vyřeší s koncákem. Nešlo by tomu jít trošku naproti? Kdyby CSIRT oslovil ISP, že na dané adrese, kterou oni označuji jako bezproblémovou, je nějaký problém, to by bylo stylové. Podobné upozornění jsem už viděl jak od TM, tak i od "vesnického" ISP.
Máš recht, to by bylo stylové: https://csirt.cz/cs/hlaseni-incidentu/formular-na-hlaseni/

Pokud by to ZakaznikISP skutečně nahlásil, tak by to byl i dobrý námět na článek: Jak to nahlášení funguje, jak dlouho to trvá, jak ISP problém vyřešil, proč to nevyřešil - v čem byl problém atd.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: pavel411 08. 06. 2021, 08:37:10
Není: Trestní odpovědnost pachatele a trestněprávní důsledky s ní spojené lze uplatňovat jen v případech společensky škodlivých, ve kterých nepostačuje uplatnění odpovědnosti podle jiného právního předpisu. Řešilo se to tu v diskuzi o tom, jestli když si z platební karty vyškrábu CVV kód (aby si ho nemohl někdo nakouknutím zapamatovat a pak za mě platit na internetu), tak jsem se dopustil neoprávněného pozměnění platebního prostředku.

v jednom případě vyškrábu na mě svěřené kartě kód bez praktického dopadu, v druhém aktivně přistupuji k majetku někoho jiného a měním mu konfiguraci, resp. omezuji mu přístup. V případě, že se něco stane a ISP bude obviněn z účasti, hádej kdo za to bude moct?
Nehodnoť realitu, ale její možný obraz interpretovaný účastníky případného řízení - najednou je snadno někdo, kdo se neoprávněně snažil o omezení škod prezentován jako původce útoku - nebo myslíš, že když to ISP bude moct hodit na někoho, kdo je akorát prudil tak to neudělá?
Přestaňte spoléhat na to, že to přece běžně prochází - občas to neprojde a pak to může bolet...
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: _Jenda 08. 06. 2021, 10:34:35
Není: Trestní odpovědnost pachatele a trestněprávní důsledky s ní spojené lze uplatňovat jen v případech společensky škodlivých, ve kterých nepostačuje uplatnění odpovědnosti podle jiného právního předpisu. Řešilo se to tu v diskuzi o tom, jestli když si z platební karty vyškrábu CVV kód (aby si ho nemohl někdo nakouknutím zapamatovat a pak za mě platit na internetu), tak jsem se dopustil neoprávněného pozměnění platebního prostředku.

v jednom případě vyškrábu na mě svěřené kartě kód bez praktického dopadu, v druhém aktivně přistupuji k majetku někoho jiného a měním mu konfiguraci, resp. omezuji mu přístup.
Bez praktického dopadu, resp. dokonce s pozitivním praktickým dopadem.

Nehodnoť realitu, ale její možný obraz interpretovaný účastníky případného řízení - najednou je snadno někdo, kdo se neoprávněně snažil o omezení škod prezentován jako původce útoku - nebo myslíš, že když to ISP bude moct hodit na někoho, kdo je akorát prudil tak to neudělá?
Přestaňte spoléhat na to, že to přece běžně prochází - občas to neprojde a pak to může bolet...
Úplně stejně bude problém až za ním přijdou že „on“ něco provedl (a ve skutečnosti to byl ten botnet co tam běží).
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 08. 06. 2021, 14:31:10
Tak dnes jsme se dohodli na výpovědi od ISP.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: uwe.filter 08. 06. 2021, 15:27:04
Jestli máš za něj nějakou použitelnou náhradu, je to asi ideální řešení.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 08. 06. 2021, 16:12:50
No, snad to nebude potom stejné....
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: SB 09. 06. 2021, 10:24:43
tom spíše že bych na něj bonzoval na ČTU... tohle nemám ve zvyku.....
Takže ten ostnatý drát u silnice bys taky nenahlásil jen proto, abys nebyl bonzák?

Jo, tohle je typicky české - poukazování na špatnosti a žádost o nápravu jsou bonzáctvím, ale že někdo něco dělá špatně, či dokonce škodí, nikoho nezajímá.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: SB 09. 06. 2021, 10:31:59
Předpokládám, že zveřejnění názvu mistrů si ponecháte v záloze pro případ, že by vás chtěli vydírat kvůli vstupu do zařízení, takže se jej nedozvíme.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: _Jenda 09. 06. 2021, 11:52:16
Tak dnes jsme se dohodli na výpovědi od ISP.
Stejně bych jen tak pro informaci dal vědět na abuse adresu upstream ISP.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 10. 06. 2021, 19:21:53
Pro SB: nevím jestli je to typicky české, ale typicky československé to tu bylo hned po napsání prvního příspěvku a mé zoufalé prosby o pomoc...(a když píšu zoufalé, tak jsem z toho stavu byl opravdu zoufalý)....že to nemám řešit, že se mohu ozvat až ve chvíli kdy se to rozleze i dovnitř sítě, že mojí prosbou z někoho dělám spolupachatele a že si mám poradit sám....a ještě, že s tím mám jít do fóra pro ISP, aby mi tam všichni nadávali....tak co.... Nic zveřejňovat nebudu a ani nebudu nikam psát upozornění...

Dnes jsme se snad dohodli s novým poskytovatelem.... ten mi navíc oficiálně dovolí mít do firewallu v jeho routeru přístup.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: SB 11. 06. 2021, 10:31:08
Tak pravdou je, že mě místní reakce typu nechat to smrdět některých diskutérů vyloženě zarazily, ono nechat si jen otloukat porty nějakým ksindlem z Číny, nebo mít útočníka přímo za (_!_) v trvalé pozici MITM s možností intenzivního sledování, přesměrování či zneužití adresy (a kdovíco ještě), je trochu jinou ligou. To je důvodem k lehké panice, ale některé to tu zjevně nevzrušuje.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: Jose D 11. 06. 2021, 12:33:22
4) Upozornit znovu ISP na to, že vím, že je jeho zařízení napadené. Ale to se nejspíše nesetká s úspěchem...nejprve mi vynadá, že mu lezu do jeho zařízení a potom řekne, že on má vše v pořádku.

Co s tím? jak to mám řešit? Děkuji moc za pomoc.

musíš na to jít trochu diplomaticky.

Pokud mu někdo napadnul mikrotik, tak nejspíše použil starší vulnerabilitu na kterou existuje v komunitě známý exploit. Tento je k dispozici na různých úložištích, a umožňuje vzdáleně vyčíst uživatelské jméno a heslo.

Je možné, že pokud máš v síti více mikrotiků, tak možná spouštíš preventivní automatický scan na celou Tvoji síť. To je naprosto v pořádku.

Pokud bys takový scan spouštěl, je možné, že by nedopatřením či chybou v konfiguraci Tvého scanu mohlo dojít k oscanování i zařízení ISP, které je možná ve stejné podsíti.

Pokud bys při takovém scanu (nechtěně!) odhalil tuto zranitelnost, bylo by nanejvýš žádoucí bezprostředně kontaktovat majitele daného zařízení, zejména pokud by výše zmíněný nástroj odhalil podezřelé uživatelské účty. Na tyto by bylo vhodné upozornit, a zdůraznit, že šlo z tvé strany o chybnou konfiguraci automatického scanu.

Mám dojem, že Mikrotiky logují přihlášení do RAMky, pokud to není změněno. Tak možná by potenciální útočník z tvé sítě mohl dočasně odpojit router od napájení, aby případné stopy po něm byly zahlazeny, rozumíme-li si.

EDIT: ten exploit se momentálně nachází na githubu a pro studijní účely se dá vyhledat pod stringem "WinboxExploit"
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: Jose D 11. 06. 2021, 12:46:40
Dnes jsme se snad dohodli s novým poskytovatelem.... ten mi navíc oficiálně dovolí mít do firewallu v jeho routeru přístup.
srry, tak můj post výše už je nadbytečný.

Každopádně Tvé řešení je nejlepší možné, protože jestli tvůj ex-ISP zapomíná po zákoších kredence k svým síťovým boxům a ještě má hacknuté jednotky, tak asi není vše cajk.

Co by bylo od tebe hezké, je postnout sem název ISP, ať se mu tady ctěné publikum může vyhnout.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: LarryLin 11. 06. 2021, 15:13:32
Co by bylo od tebe hezké, je postnout sem název ISP, ať se mu tady ctěné publikum může vyhnout.
Neprozradí nám to. Je to jako v té historce od Mirka Donutila (https://www.youtube.com/watch?v=C5s-ID2zDNE&t=2065s) - Nikdo neřekl "Nechoď tam Franta šplíchá", to není v naší národní povaze. Naopak všichni si museli jít ke klíčové dírce pro svoji dávku :)

Takže místo brejlí koupit kvalitní router a všechnu komunikaci do internetu šifrovat. :(
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 11. 06. 2021, 21:01:32
Já neřeknu více než to, že je to někde na severní Moravě.... pánové prosím, vžijte se do mé situace....to jestli napráším nebo nenapráším ISP je pro mě teď opravdu to poslední....chápu, že někdo z toho má dobrou zábavu, ale já teď řeším, jak se domluvit s novým ISP, jak vrátit starému ten jeho router.....a hlavně co mám dělat s koncovými zařízeními? Stačí sledovat jestli nebudou komunikovat někam? Nebo rovnou to co půjde (i když komplikace s tím je vždycky) přeinstalovat? Některá zařízení jsou ale z říše "internetu věcí" a jentak přeinstalovat nejdou...i když ty moc ani neumožňují modifikovat firmware přes ETH. Ale já nevím, k některým věcem jsem lezl přes SSH a SFTP, dále přes  vzdálené plochy ...něco komunikuje v režimech server-klient.... Stahoval jsem přes to různé aktualizace.... některé linuxové systémy i instal přímo z netu....mohlo do toho při tom něco vlézt? Znovu opakuji měl jsem tam DNS správně ve svém routeru a komunikace z většiny stejně byla IP na IP.......ale je to prostě pro mě tragédie.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: M_D 11. 06. 2021, 21:39:04
Ale proč se divíš tomu ISP, že to měl na háku? Papírově ten stav byl na 99% tak, že to byla z pohledu světa tvoje chyba, že tam je zavirovaná krabice. Problém neměl ISP, ale ty.
Ptal jsem se tě, kde je předávací rozhranní mezi sítí ISP a tebou. Chápu, že jde o bezdrátvého ISP, který ti zapůjčil bezdrátový router, ten ti dal na barák ty jsi si za něj dal další vlastní. Celá pointa je v tom, zda předávací rozhranní je bezdrátový signál, pak je ten wifi router koncové zařízení veřejné sítě, které je provozováno již na tvoji odpovědnost (i když je fakticky zapůjčeno a na dálku spravováno daným ISP) - ty neseš odpovědnost za to, že je to v pořádku a jen jen na tobě, jak máš nastavenu podrobně smlouvu s ISP (nebo jakýmkoliv jiným subjektem), že se ti o něj má dobře starat. Pokud je to takto a štoural ses do toho, tak ty nápady o nějakém zasahování do veřejné telko sítě jsou liché. Pokud je předávací rozhranní až za tím bezdrátovým routerem - na kabelu mezi ním a tvým routerem, tak ta krabička je ještě součástí veřejné sítě operátora a zasahováí do ní i z dobré vůle je v rozporu se zákonem. A vtipné je, že i v takovém případě je ISPík relativně z obliga, legislativa je nastavena tak, že je dost omezena jeho odpovědnost za to, co dělá jeho síť, pokud to neudělal úmyslně nebo hrubě neporušil svoje povinnosti, což bude třeba nějak dokázat. Takže opět je relativně v klidu, pokud to není jak doložit a mlčíš. Takže takhle je vidět, že ISPíkovi to netrhalo žíly, neměl důvod se vzrušovat, dokud mu síť nějak funguje. :-(
Samozřejmě je v takovém případě nejlepší odchod jinam a doufat, že jinde to bude lepší...
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: FKoudelka 12. 06. 2021, 22:39:06
Já neřeknu více než to, že je to někde na severní Moravě.... pánové prosím, vžijte se do mé situace....to jestli napráším nebo nenapráším ISP je pro mě teď opravdu to poslední....chápu, že někdo z toho má dobrou zábavu, ale já teď řeším, jak se domluvit s novým ISP, jak vrátit starému ten jeho router.....a hlavně co mám dělat s koncovými zařízeními? Stačí sledovat jestli nebudou komunikovat někam? Nebo rovnou to co půjde (i když komplikace s tím je vždycky) přeinstalovat? Některá zařízení jsou ale z říše "internetu věcí" a jentak přeinstalovat nejdou...i když ty moc ani neumožňují modifikovat firmware přes ETH. Ale já nevím, k některým věcem jsem lezl přes SSH a SFTP, dále přes  vzdálené plochy ...něco komunikuje v režimech server-klient.... Stahoval jsem přes to různé aktualizace.... některé linuxové systémy i instal přímo z netu....mohlo do toho při tom něco vlézt? Znovu opakuji měl jsem tam DNS správně ve svém routeru a komunikace z většiny stejně byla IP na IP.......ale je to prostě pro mě tragédie.
Naprášit ISP můžeš i později, není to pro zábavu, ale třeba to někomu může pomoct.
Jelikož jsi tajemný jak hrad v Karpatech, co se infrastruktury týče, těžko radit. Sledovat provoz nepomůže, neznámý je třeba zarazit. Každopádně bych asi začal inventarizací, kategorizací dle technologie, rizik a dle možnosti nového začátku (reinstalace, reset do firemního nastavení apod). Je  na tobě, zda věříš svému firewallu a jeho nastavení nebo ne,to nikdo  jiný nedokáže  posoudit. Tak jak tak, polovičaté řešení ti bezpečnosti ani klidu nepřidá.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: SB 14. 06. 2021, 11:32:17
Když se to vezme do důsledku, tak tazatele ten lempl poskytovatel nejen ohrozil, ale ještě mu přidělal práci.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 14. 06. 2021, 21:02:58
Ještě se zeptám, v jednom příspěvku zde se mluví, že je lepší mít zaveden IPV6 a ve firewallu mu všude dát drop. Jaký je rozdíl oproti nastavení, kdy se IPV6 rovnou celé zakáže v Packages? Dekuji

Už jedu přes nového ISP.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 16. 06. 2021, 19:45:56
Já jsem to pochopil tak, že když jel celé IPV6 zakázané, tak zvenku dovnitř se nemůže nikdo dostat? Je to tak? Maximálně by asi mohly komunikovat zařízení v rámci LAN?

Dnes se mi ozval původní ISP s nabídkou...nižší cena a že pry se na všem dohodneme....
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: M_D 17. 06. 2021, 07:56:42
V podstatě, pokud nemám IPv6 balíček aktivován a ten router bude fungovat i jako bridge, tak mohou přes bridge IPv6 (a jiné pakety) procházet. Pokud budu mít IPv6 modul nahozne a všude bude dropování i na L2,  tak ho to odstřelí. Ale pokud chci už tak poctivě to řešit, tak mám samozřejmě aplikovaný L2 firewall, který vysloveně propouští jen pakety s IPv4 a vše ostatní dropuje, aby si někdo nechtěl přes mé zařízení zkoušet posílat jakýkoliv jiný obskurní protokol. :-)
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: zakaznikISP 18. 06. 2021, 07:09:23
Mezi "vstupem" a "výstupem" samozřejmě bridge nemám. Bridge je i po továrním nastavení u mikrotiků jen mezi lan porty. Tedy snad to chápu správně, že IPv6 pakety mohou běhat v lan, ale už ne z wan do lan. Proto mi to bylo divné.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: jozes 29. 09. 2021, 18:35:50
"Heslo účtu ISP ale nezměním, protože ho neznám, jen ho mám uložené v jednom ntb"

???
Myslis ulozene vo winboxe?
Ked ho mas ulozene, tak ho mozes aj poznat.
Název: Re:Napadený Mikrotik (klientská jednotka) ISP
Přispěvatel: NS2 29. 09. 2021, 22:36:04
"Heslo účtu ISP ale nezměním, protože ho neznám, jen ho mám uložené v jednom ntb"

???
Myslis ulozene vo winboxe?
Ked ho mas ulozene, tak ho mozes aj poznat.

ano, pokud je heslo ulozene ve windows je zde:
c:\Users\user\AppData\Roaming\Mikrotik\Winbox\settings.cfg.viw