Napadený Mikrotik (klientská jednotka) ISP

[neregistrovany]

Proč to řeším??
1) mám strach o svá  zařízení za routery ke kterým zvenku přistupuji. Píšu, že nejsem odborník na internetovou bezpečnost a nevím jestli se to z napadeného routeru může nákaza dále rozlézt a napadnout má vnitřní zařízení, nahrát do nich škodlivý kód, odchytávat hesla atd... já si myslím, že se nic stát nemůže, z toho napadeného routeru je maximálně vidět můj vnitřní router a ten se dá zvenku administrovat pouze z jedné vnější IP přes web. Navíc nejsem tak naivní, aby tam byl admin účet s full právy.... ale umíte mi Vy, nebo někdo jiný tuto obavu o koncová zařízení a jejich napadnutí bezpečně vyvrátit?

Vy nemate na hranici sve domaci site firewall??? To je snad prece uplny zaklad....
 

2) přesně jak píše _Jenda, není mi to lhostejné, je v tom má veřejná adresa, ten červíček s tím, že prostě "moje" zařízení pro přístup k internetu je součástí něčeho nekalého, vrtá se v tom někdo cizí, prostě ve svědomí hlodá... ale chápu váš přístup. Jakobych slyšel toho svého ISP... jde vám internet? jde, tak proč to řešíte.... co na tom, co na tom, že nejde jeho DNS...natavte si tam v počítači 8.8.8.8 a je to, že? Navíc mě už tak trochu vytáčí, že já - sice slaboproudař, ale o sítích vím prd a nedělám v nich si po pár hodinách studia umím nastavit a hlavně ohlídat router líp než ISP, který je profík. A tak když on mi s tím nepomůže, si holt musím pomoci sám.

Neni to vas router, je to zarizeni v majetku a sprave vaseho ISP. Za jeho cinnost nejste v nejmensim odpovedny. Ani ta IP adresa neni vase, v RIPE je jiste napsana na vaseho poskytovatele (nebo nekoho dalsiho).

[Reklama]

[zakaznikISP]

Neregistrovaný:
Budu se opakovat, ano mám tam další svůj router se svým firewallem...píšu to hned na začátku... narozdíl od ISP, který firewall nemá žádný.....a narozdíl od možná 90 procent dalších jeho zákazníků, co mají PC hned za tou KJ.

Teď ještě prosím o tu akademickou debatu, co je dobrý a dobře nastavený firewall, který ochrání před zamořenou sítí ISP.

[Martin H.]

Neregistrovaný:
Budu se opakovat, ano mám tam další svůj router se svým firewallem...píšu to hned na začátku... narozdíl od ISP, který firewall nemá žádný.....a narozdíl od možná 90 procent dalších jeho zákazníků, co mají PC hned za tou KJ.

Teď ještě prosím o tu akademickou debatu, co je dobrý a dobře nastavený firewall, který ochrání před zamořenou sítí ISP.

Zastanu se tě. Napadený MK WifiPoint může být problém.  Třeba... ty si dáš pro jistotu DNSky na 8.8.8.8 a zlý MK v cestě ti to přepíše na nějaký jiný, který ti bude podstrkovat jiné IP pro tvé adresy.
Nebo, jak píšeš ... bude se snažit chytat hesla - co když část provozu "unese" někam jinak, co když se bude tvářit jako MITM ...

Rada drahá. Navíc, pokud je napaden jeden, může jich mít napadených v sítii více.

Zkus se (asi ideálně osobně) nabídnout, že jim pomůžeš s řešením problému. Třeba jeho neochota pramení z malé znalosti a ty na ně působíš jako namachrovaný prudič. Zkus na ně zapůsobit jako někdo, kdo chápe jejich problémy a může a chce jim pomoci.

Pokud ani pak nebude svolný a nic neudělá a ty nemůžeš změnit operátora, pak bych linku považoval za kompromitovanou a jediný bezpečný provoz by byl, že by jsi měl někde v internetu jiný důvěryhodný koncový bod (třeba nějaký VPS hosting s IPV4 a root účtem) a nasměroval veškerý provoz ze svého MK přes VPN na tento koncový bod a z něj teprve do netu. V opačném případě si opravdu nemůžeš být jistý, co se s provozem skrze ten MK bod děje.
A samozřejmě uvažoval o změně ISP (neříkej mi, že u Vás nefunguje xDSL).

To bezpečné nastavení: rčitě tu jsou i fundovanější, ale za mě:  admin/ReadOnly, FW IN/FWD - kromě Related, Established jen to opravdu nejnutnější, zbytek DROP. Vypnout všechny služby, co nepoužíváš - osobně mám ve službách nastaveno, že jsou (mimo nastavení FW) dostupné jen pro interní adresy. Pokud nastavíš jakoukoliv službu ven (L2TP/OpenVPN ... o PPTP neuvažuji), zajistit dostatečné heslo. Nezapomenout na IPV6 - doporučuji, pokud jej nepoužíváš, mít modul zaveden a vše dát DROP (IN/OUT/FW=DROP). Bylo by toho jistě více, ale teď po ránu mě víc nenapadá.

[zakaznikISP]

Pro Martin H.:
Děkuji, stejně jako děkuji všem tady, co chápou můj problém a snaží se poradit.

Ono to není "u mně", je to v kraji kde lišky dávají dobrou noc a k tomu zařízení tam přistupuji dálkově z města, kde DSL samozřejmě mám. To, proč se jedná o "opuštěné zařízení v pustině" má své opodstatnění.... drátová přípojka tam ale určitě není....možná tak satelit, nebo nějaký mobilní operátor.....nechci tu lokalitu ani o jaké zařízení se jedná blíže upřesňovat....pořád se snažím vůči ISP vystupovat nějak korektně...(tohle už je spíše taková zoufalost, kdy už nevím na koho se obrátit...) i když je mi jasné, že ti co tady nejvíc prskají o tom, že je to zločin, nemám právo ISP nic vytýkat a mám si poradit sám... případně, že jsem bl.bej, protože už každá bába ve vesnici na horách má firewall, který levou zadní administruje a já to moc řeším, by byli ti první, kteří by na mém místě všude psali jméno ISP, případně by se s ním soudili za ohrožení jejich zařízení.....

Uvedená pravidla na tom svém druhém routeru samozřejmě používám + ještě i další.... Na většinu portů je třeba přístup jen ze známých IP atd.. člověk ale musí být ve střehu....když jsem po ISP chtěl aby mi celou veřejnou adresu, za kterou platím, hodil 1:1 až na můj router, že se o to budu starat sám, tak to odmítl z důvodu bezpečnosti....je vtipný, že já to mám v pořádku a on má svůj router napadený a nakonec s tím mám ještě víc starostí.....

Unesení části dat někam jinam, nebo odchytlé nějaké heslo bych v nejhorším asi ještě přežil... nepředstavitelné by bylo, kdyby se červi uhnízdili v koncových zařízení...ale to se snad nestane....v logu ze svého routeru nevidím žádnou nestandardní komunikaci zevnitř mé sítě...nevím, co více ještě hlídat.

[messagebus]

Co kdyz chudak ISP z bohem zapomenuteho kraje se snazi tezit na svych routerech nejake shitcoiny, aby vubec vyzil a ted tohle?

[Reklama]

[Karmelos]

Já bych to resetoval do továrního a zavolal ISP, že to nechodí.   

[zakaznikISP]

Co kdyz chudak ISP z bohem zapomenuteho kraje se snazi tezit na svych routerech nejake shitcoiny, aby vubec vyzil a ted tohle?

  ....tak aspoň jsem se ve svém zoufalství teď opravdu od srdce zasmál.....

[uwe.filter]

Já bych asi šel cestou konstruktivního prudění . Vysvětlil bych mu, jak a na co jsem přišel a co bych doporučoval jako náhradu, případně nabídnul, že to s jeho svolením zkusím dát do pořádku. Třeba tou zálohou nastavení, resetem a obnovením zálohy krom podezřelé části konfigurace, jak tu padlo (ale nejsem expert na mikrotik, tak možná tam je ještě nějaká záludnost?). ISP sice může nadávat, že mu lezeš do jeho zařízení, na druhou stranu on tam má problém a měl by ho řešit, a beztak kdyby mu to bylo moc vadilo, tak by už byl změnil heslo, aby ses tam nedostal znovu.

No a kdyby nepomohlo tohle, tak asi zkusit tu zálohu/reset/obnovu, ať se mu to líbí nebo ne . Úplně správné řešení to není, samozřejmě, ale když jsou podmínky nastavené takhle...

[xunil]

To asi nebude jedinné zařízení v tomhle stavu toho ISP.
Dle reakce ISP - vyměnit.

[pavel411]

no sahat někomu na byť špatně zkonfigurované železo není zrovna košer akce, do toho bych se nepouštěl, na druhou stranu bych z toho byl poněkud nervózní a nechtěl bych v takové situaci fungovat. Předpokládám, že pokud je ISP pro Vás takhle klíčový, tak ho znáte a víte, s kým se tam dá co a jak řešit a na koho případně eskalovat, pokud to nefunguje, tak bych se podíval jinde - minimálně mobilní operátor by tam fungovat měl, můžete mít ovšem problém s veřejnou IP adresou.

[Screemy]

No ...

asi bych to videl nasledovne

Zavolat ISPikovi, rict mu konkretne co jsi objevil, poslat emailem podklady a "dukazy" a navrhnout mu spolupraci nebo minilane zabezpeceni te tve jednotky ....

urcite bych se mu do toho nehrabal i v pripade v jakem jsi ....

dalsi moznost je LTE modem ...

[LarryLin]

Tvému ISP napiš zhruba toto:

Zjistil jsem, že váš Mikrotik byl napaden scriptem 7wmp0b4s.rsc. Problém je popsán na oficiálních stránkách Mikrotiku: https://forum.mikrotik.com/viewtopic.php?t=161521 . Je tam popsán i návrh na vyřešení problému.

Rád bych vás tímto poprosil o odstranění problému. Pokud problém nechcete řešit, tak prosím alespoň o potvrzení, že jsem vás o tomto informoval pro případ, že váš Mikrotik s moji veřejnou IP adresou bude rozesílat spam nebo jinak útočit na ostatní zařízení v internetu.

S pozdravem
Franta

[Medo77]

Aby ste sa necudovali, ked po nahlaseni problemu prislusny ISP prehesluje MKT, a necha to tak, lebo proste dieru nevie zaplatat .. A problem pretrvava ...  Utopia ? Omyl .. Realita ... Najst nieco na nete a bohapusto copy&paste, ved to funguje ...  Ale prispevok nado mnou sa mi paci .. Zicher je zicher .. Ked sa ta budu pytat, odkial vies heslo, povedz, ze ho tam nechal na papieriku ich technik kedysi davno ...

[zakaznikISP]

No tak odpověď od ISP nepřekvapila...i když byla tentokrát mimořádně rychlá. Opakovaně mi sdělují, že na jejich straně je vše funkční a v pořádku a jestli mám jakýkoliv problém, tak je problém na mojí straně. Dále řeči o rychlosti a pingu. Navíc mě upozorňují, že nesmím dělat žádné screeny z konfigurace jejich zařízení.....  to případné potvrzení, to je také z říše snů...

[drk22]

Před mnoha a mnoha lety jsem na podobně fungujícího ISP taky narazil. Když odmítli cokoli řešit, tak jsem si našel jiného lepšího a kupodivu i o dost levnějšího a jim poslal výpověď/ukončení smlouvy. Najednou pak chtěli začít hledat řešení to už ale nechtěl já...