Napadený Mikrotik (klientská jednotka) ISP

Napadený Mikrotik (klientská jednotka) ISP
« kdy: 06. 06. 2021, 09:25:19 »
Dobrý den,
Router (klientská jednotka pro připojení k Wi-Fi) ve vlastnictví a správě ISP, přes kterého se připojuji je napaden nějakým škodičem. Viz příloha.
Je tam skript, který každý den vytvoří VPN Interface s uživatelem user4766994 a heslem a stahuje to nějaký soubor 7wmp0b4s.rsc + se tam cpe někdo ze 146.88.240.4, to je škodlivá adresa podle abuseipdb. Dále nefunguje DNS na routeru. Klientská jednotka ISP je na veřejné IP a jsou v ní přesměrovány určité porty na adresu mého routeru za touto KJ. Jiný firewall tam poskytovatel nemá (buď ho smazal útočník, anebo a to spíše tam nikdy žádný nebyl ISP nastaven).
Za klientskou jednotkou je můj vlastní router - také Mikrotik, kde mám nastavený silný firewall, směrování portů na jednotlivá koncová zařízení, maškarády, na některé porty a administraci svého routeru přes web povolené přístupy jen ze známých IP adres, mám tam blacklisty atd. Na svém routeru mám nastavené také svoje DNS pro svou vnitřní síť (nic.cz a google), SNMP atd... Myslím si, že svůj router mám zabezpečený mnohem, mnohem lépe, než ISP ten svůj. Každopádně, můj router je čistý. Z 95 procent se připojuji zvenku ke koncovým zařízením za oběma routery, není to tak, že bych připojení používal k nějakému brouzdání po netu. Občas je za klientskou jednotkou i SOHO Wi-Fi krabička (wifi router) ale to jenom zřídka kdy (vždy tak dva dny za dva měsíce), ale i tam mám nastavené vlastní DNS.

Oficiálně nemám do klientské jednotky poskytovatele přístup, on mi jenom směruje dohodnuté porty a další administraci si dělám sám u sebe. Přesto ale ISP jednou nechal v mém PC heslo a já se do jeho zařízení dostanu. Upozorňoval jsem ho, že je s jeho KJ něco špatně - nefunguje mu DNS, nešlo se mu tam připojit zvenku přes winbox z čehož nejprve obvinil mě (nevím, jak by to mohla být moje vina), ale teď je mi jasné, že winbox službu mu tam vypnul také ten útočník. ISP svůj router (KJ) prošel a řekl mi, že napadený není a s DNS, že mi neumí pomoci, že on tam vidí nastavené jeho DNS adresy a když to nefunguje ať si používám svojí DNS za jeho routerem. Já ale vím, že napadený je. Co teď s tím?

Zatím jsem v tom ve službách vypnul FTP, vypnul SSH, v interfaces zakázal to lvpn zařízení (pouze deaktivoval, protože když ho smažu, tak ten skript tam vytvoří nové aktivní), uživateli admin jsem dal právo jenom read. Pakety z té 146.88.240.4 z logu zmizely. Stahování souboru a ten skript tam ale stále skáče. Ve skriptech v menu ale nic není. A dal jsem aktualizovat verzi OS klientské jednotky, předtím tam bylo snad něco 4.xx? Ještě uvažuji, že bych změnil admin heslo. Heslo účtu ISP ale nezměním, protože ho neznám, jen ho mám uložené v jednom ntb. V uživatelích je ale nějaký bordel - v users je jen admin, netgear a r31337?? Uživatel ISP tam není, nebo je skrytý? ten je vidět jen v aktivních uživatelích. Co teď s tím, když vím, že zařízení poskytovatele je napadené a on se o tom se mnou nechce bavit? Je několik možností:

1) nechat to být a řešit si jenom svůj router. Přemýšlím o tom, jestli a do jaké míry jsou ohrožena má zařízení vnitřní sítě? Může někdo třeba zachytávat hesla pro přístup ke koncovým zařízením, odchytávat provoz, dostat nějaký škodlivý kód i dál dovnitř mojí sítě? Já myslím, že ne, ale nejsem odborník na internetovou bezpečnost... ten můj router za KJ je čistý a zabezpečení v něm používám myslím dobré, to stejné platí o té příležitostné SOHO Wi-Fi. Je také možné, že řeším jednu "krabičku" a ISP má takto zamořenou celou svou síť a všechny rádiové body před touto krabičkou.

2) pokusit se nějak zrušit ten skript, změnit heslo adminovi nebo povolit přístup jen zevnitř, nastavit si tam sám nějaký firewall a ISP o tom neříct. Stejně mi minule vynadal, že se tam nemůže zvenku dostat, tak co. Nebo co dál, kromě výše uvedeného (deaktivace lvpn, admin-read, ssh a ftp) bych měl ještě sám bez jeho pomoci udělat?

3) Ideální by byl nový netinstall, ale to nepřipadá v úvahu, já už bych ty přístupy do Wi-Fi sítě ISP potom sám nikdy nenastavil. A asi nejhorší možnost by byla to rozvrtat a pak přijít za ISP.

4) Upozornit znovu ISP na to, že vím, že je jeho zařízení napadené. Ale to se nejspíše nesetká s úspěchem...nejprve mi vynadá, že mu lezu do jeho zařízení a potom řekne, že on má vše v pořádku.

Co s tím? jak to mám řešit? Děkuji moc za pomoc.


Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #1 kdy: 06. 06. 2021, 10:48:49 »
4] Posli vsechno ISP. Detailni popis,  screeny, logy etc. Vsechno co si napsal sem.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #2 kdy: 06. 06. 2021, 11:32:00 »
precti si poradne co napsal. jaka byla reakce ISP na prvni ohlaseni problemu. jaka si bude reakce na vic detailu, lepsi?

4] Posli vsechno ISP. Detailni popis,  screeny, logy etc. Vsechno co si napsal sem.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #3 kdy: 06. 06. 2021, 13:21:11 »
precti si poradne co napsal. jaka byla reakce ISP na prvni ohlaseni problemu. jaka si bude reakce na vic detailu, lepsi?

4] Posli vsechno ISP. Detailni popis,  screeny, logy etc. Vsechno co si napsal sem.

To zarizeni neni jeho. Pokud to nezabere, tak bych dosel k "ISP" a vyridil si to osobne. Prenastavenim ciziho zarizeni si maximalne koledujes o poruseni smlouvy a ukonceni poskytovani sluzeb. Ostatne prejit k jinemu wifi poskytovateli je take varianta.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #4 kdy: 06. 06. 2021, 13:42:04 »
"Router (klientská jednotka pro připojení k Wi-Fi) ve vlastnictví a správě ISP, přes kterého se připojuji je napaden nějakým škodičem."

Muzu se zeptat proc to resite?


_Jenda

  • *****
  • 1 550
    • Zobrazit profil
    • https://jenda.hrach.eu/
    • E-mail
Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #5 kdy: 06. 06. 2021, 15:15:32 »
Muzu se zeptat proc to resite?
Třeba mu není lhostejné, že někdo (ještě k tomu způsobem, že z toho může mít problémy on, protože tam všude bude figurovat „jeho“ IP adresa) provozuje botnet, který třeba rozesílá spamy, hostuje podvodné stránky a tak.

Já teď řeším něco podobného. Ukončil jsem spolupráci s jedním ISP a ten je teď už půl roku bez admina. Co dělat až začne rozesílat spam? Asi bych napsal na abuse adresu upstream poskytovatele, že jeho klient nezvládá svoji práci.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #6 kdy: 06. 06. 2021, 16:09:47 »
Urobte si prieskum či môžete o tomto vôbec ISP informovať. Nabonzovať sám seba z prieniku do zariadenia keď k tomu nemáte oprávnenie sa vám nemusí vyplatiť. A je jedno akým spôsobom ste získal heslo. Sťažovať sa môžete len v prípade ak by ste dôkaz pochádzal z vašej siete či už routra, alebo zariadení za ním, prípadne ak niečo nie je podľa zmluvy.

Medo77

  • ****
  • 288
    • Zobrazit profil
    • E-mail
Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #7 kdy: 06. 06. 2021, 17:33:43 »
Vycisti napadnuty mkt, zabezpec ako svoj a tvar sa, ze ty nic, ty muzikant. Vobec by som to neriesil dalej, ked ma takyto pristup a vies, ze klame.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #8 kdy: 06. 06. 2021, 18:28:07 »
Proč to řeším??
1) mám strach o svá  zařízení za routery ke kterým zvenku přistupuji. Píšu, že nejsem odborník na internetovou bezpečnost a nevím jestli se to z napadeného routeru může nákaza dále rozlézt a napadnout má vnitřní zařízení, nahrát do nich škodlivý kód, odchytávat hesla atd... já si myslím, že se nic stát nemůže, z toho napadeného routeru je maximálně vidět můj vnitřní router a ten se dá zvenku administrovat pouze z jedné vnější IP přes web. Navíc nejsem tak naivní, aby tam byl admin účet s full právy.... ale umíte mi Vy, nebo někdo jiný tuto obavu o koncová zařízení a jejich napadnutí bezpečně vyvrátit?

2) přesně jak píše _Jenda, není mi to lhostejné, je v tom má veřejná adresa, ten červíček s tím, že prostě "moje" zařízení pro přístup k internetu je součástí něčeho nekalého, vrtá se v tom někdo cizí, prostě ve svědomí hlodá... ale chápu váš přístup. Jakobych slyšel toho svého ISP... jde vám internet? jde, tak proč to řešíte.... co na tom, co na tom, že nejde jeho DNS...natavte si tam v počítači 8.8.8.8 a je to, že? Navíc mě už tak trochu vytáčí, že já - sice slaboproudař, ale o sítích vím prd a nedělám v nich si po pár hodinách studia umím nastavit a hlavně ohlídat router líp než ISP, který je profík. A tak když on mi s tím nepomůže, si holt musím pomoci sám.

Najde se prosím někdo, kdo mi pomůže dát to trochu do pořádku a nebude mě odsuzovat za "průnik do zařízení ISP"? Klidně i za nějakou odměnu. Já bych za to zaplatil i tomu ISP, kdyby to bylo v pořádku. Jenže ono je to těžké, když se se mnou nikdo nechce moc bavit.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #9 kdy: 06. 06. 2021, 18:51:21 »
schválně bych tvůj původní příspěvek publikoval na ispforum.cz a uvidíš, co ti na to odpoví ostatní ISPíci

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #10 kdy: 06. 06. 2021, 18:52:20 »
Jediné pořádné řešení by dle mne byl factory reset, ale není to Vaše zařízení. Upozornil bych je,bez rizika pro sebe, že tam mají škodnou a když vás pošlou rovně, pošlete je tamtéž. Snad nejsou jediný provider na světě. Koneckonců jste koncový zákazník a máte nárok i na bezpečnost, bez toho, abyste doma stavěl rovnák na vohejbák.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #11 kdy: 06. 06. 2021, 19:13:54 »
=> kdo mi pomůže dát to trochu do pořádku a nebude mě odsuzovat za "průnik do zařízení...
Nerobte z nás spolupáchateľov. Ak si to potrebujete vyriešiť, činte tak vlastnými vedomosťami.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #12 kdy: 06. 06. 2021, 21:34:53 »
Nerobím z nikoho spolupachatele - poskytovatel mě už jednou nařknul z toho, že jsem mu v KJ změnil heslo a proto se tam nemůže dostat přes winbox...jenže, já to heslo neměnil, to mu v tom ten winbox vypnul ten útočník...a taky mě kvůli té potencionální změně hesla nenechal zavřít, ba ani nepopotahoval po soudech, ani ve vzteku neroztrhal smlouvu... jen je prostě laxní...a dokud mu do jeho vysílače nenarazí vrtulník, tak nic dělat nebude, vše je v pohodě a za všechno mohu já......a popravdě ani nepotřebuji, aby mi na dalším fóru nadávali další a další ISP. Stačí ty podrážděné reakce tu:-) asi si nerozumíme, nejde mi o to "nabourávat" poskytovateli jeho router, mám za tím dost drahá koncová zařízení (a poměrně nestandartní) k těm mým obavám o ně se zatím nikdo nevyjádřil....  a bohužel je to ve vzdálené odlehlé oblasti, kde moc jiných ISP není....a i kdyby, tak stejně do doby, než bych se domluvil s jiným ISP, tak ta zařízení musí být za tím napadeným routerem.... Nezlobte se, ale já tu lokalitu ani zařízení za tím více upřesňovat nebudu... pořád věřím tomu, že se to nějak vyřeší a ISP nebudu muset měnit.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #13 kdy: 06. 06. 2021, 22:57:35 »
našel jsem toto. https://forum.mikrotik.com/viewtopic.php?t=175842&p=861212 , dole jsou 3  odkazy na další topicy

Ono čpí to, že to heslo ses ty nějak dozvěděl. Může to znamenat, že to heslo "říká každému na potkání" nebo "ho má napsané"  na firemním notebooku (jak ty geekové maj nálepky fedory, anarchie, pythonu na víku notebooku)

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #14 kdy: 07. 06. 2021, 00:06:29 »
Očividně se do toho MK dostaneš, tak si udělej zálohu přes /export, totálně to vyresetuj Netinstallem a pak to nastav podle té zálohy znova. A ideálně jeď řádek po řádku a přemýšlej jestli je to legitimní nastavení nebo je to něco co zbylo po tom "viru"...