Napadený Mikrotik (klientská jednotka) ISP

SB

  • ***
  • 242
    • Zobrazit profil
    • E-mail
Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #60 kdy: 11. 06. 2021, 10:31:08 »
Tak pravdou je, že mě místní reakce typu nechat to smrdět některých diskutérů vyloženě zarazily, ono nechat si jen otloukat porty nějakým ksindlem z Číny, nebo mít útočníka přímo za (_!_) v trvalé pozici MITM s možností intenzivního sledování, přesměrování či zneužití adresy (a kdovíco ještě), je trochu jinou ligou. To je důvodem k lehké panice, ale některé to tu zjevně nevzrušuje.


Jose D

  • *****
  • 671
    • Zobrazit profil
Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #61 kdy: 11. 06. 2021, 12:33:22 »
4) Upozornit znovu ISP na to, že vím, že je jeho zařízení napadené. Ale to se nejspíše nesetká s úspěchem...nejprve mi vynadá, že mu lezu do jeho zařízení a potom řekne, že on má vše v pořádku.

Co s tím? jak to mám řešit? Děkuji moc za pomoc.

musíš na to jít trochu diplomaticky.

Pokud mu někdo napadnul mikrotik, tak nejspíše použil starší vulnerabilitu na kterou existuje v komunitě známý exploit. Tento je k dispozici na různých úložištích, a umožňuje vzdáleně vyčíst uživatelské jméno a heslo.

Je možné, že pokud máš v síti více mikrotiků, tak možná spouštíš preventivní automatický scan na celou Tvoji síť. To je naprosto v pořádku.

Pokud bys takový scan spouštěl, je možné, že by nedopatřením či chybou v konfiguraci Tvého scanu mohlo dojít k oscanování i zařízení ISP, které je možná ve stejné podsíti.

Pokud bys při takovém scanu (nechtěně!) odhalil tuto zranitelnost, bylo by nanejvýš žádoucí bezprostředně kontaktovat majitele daného zařízení, zejména pokud by výše zmíněný nástroj odhalil podezřelé uživatelské účty. Na tyto by bylo vhodné upozornit, a zdůraznit, že šlo z tvé strany o chybnou konfiguraci automatického scanu.

Mám dojem, že Mikrotiky logují přihlášení do RAMky, pokud to není změněno. Tak možná by potenciální útočník z tvé sítě mohl dočasně odpojit router od napájení, aby případné stopy po něm byly zahlazeny, rozumíme-li si.

EDIT: ten exploit se momentálně nachází na githubu a pro studijní účely se dá vyhledat pod stringem "WinboxExploit"
« Poslední změna: 11. 06. 2021, 12:35:32 od Jose D »

Jose D

  • *****
  • 671
    • Zobrazit profil
Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #62 kdy: 11. 06. 2021, 12:46:40 »
Dnes jsme se snad dohodli s novým poskytovatelem.... ten mi navíc oficiálně dovolí mít do firewallu v jeho routeru přístup.
srry, tak můj post výše už je nadbytečný.

Každopádně Tvé řešení je nejlepší možné, protože jestli tvůj ex-ISP zapomíná po zákoších kredence k svým síťovým boxům a ještě má hacknuté jednotky, tak asi není vše cajk.

Co by bylo od tebe hezké, je postnout sem název ISP, ať se mu tady ctěné publikum může vyhnout.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #63 kdy: 11. 06. 2021, 15:13:32 »
Co by bylo od tebe hezké, je postnout sem název ISP, ať se mu tady ctěné publikum může vyhnout.
Neprozradí nám to. Je to jako v té historce od Mirka Donutila - Nikdo neřekl "Nechoď tam Franta šplíchá", to není v naší národní povaze. Naopak všichni si museli jít ke klíčové dírce pro svoji dávku :)

Takže místo brejlí koupit kvalitní router a všechnu komunikaci do internetu šifrovat. :(

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #64 kdy: 11. 06. 2021, 21:01:32 »
Já neřeknu více než to, že je to někde na severní Moravě.... pánové prosím, vžijte se do mé situace....to jestli napráším nebo nenapráším ISP je pro mě teď opravdu to poslední....chápu, že někdo z toho má dobrou zábavu, ale já teď řeším, jak se domluvit s novým ISP, jak vrátit starému ten jeho router.....a hlavně co mám dělat s koncovými zařízeními? Stačí sledovat jestli nebudou komunikovat někam? Nebo rovnou to co půjde (i když komplikace s tím je vždycky) přeinstalovat? Některá zařízení jsou ale z říše "internetu věcí" a jentak přeinstalovat nejdou...i když ty moc ani neumožňují modifikovat firmware přes ETH. Ale já nevím, k některým věcem jsem lezl přes SSH a SFTP, dále přes  vzdálené plochy ...něco komunikuje v režimech server-klient.... Stahoval jsem přes to různé aktualizace.... některé linuxové systémy i instal přímo z netu....mohlo do toho při tom něco vlézt? Znovu opakuji měl jsem tam DNS správně ve svém routeru a komunikace z většiny stejně byla IP na IP.......ale je to prostě pro mě tragédie.


M_D

  • ***
  • 177
    • Zobrazit profil
    • E-mail
Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #65 kdy: 11. 06. 2021, 21:39:04 »
Ale proč se divíš tomu ISP, že to měl na háku? Papírově ten stav byl na 99% tak, že to byla z pohledu světa tvoje chyba, že tam je zavirovaná krabice. Problém neměl ISP, ale ty.
Ptal jsem se tě, kde je předávací rozhranní mezi sítí ISP a tebou. Chápu, že jde o bezdrátvého ISP, který ti zapůjčil bezdrátový router, ten ti dal na barák ty jsi si za něj dal další vlastní. Celá pointa je v tom, zda předávací rozhranní je bezdrátový signál, pak je ten wifi router koncové zařízení veřejné sítě, které je provozováno již na tvoji odpovědnost (i když je fakticky zapůjčeno a na dálku spravováno daným ISP) - ty neseš odpovědnost za to, že je to v pořádku a jen jen na tobě, jak máš nastavenu podrobně smlouvu s ISP (nebo jakýmkoliv jiným subjektem), že se ti o něj má dobře starat. Pokud je to takto a štoural ses do toho, tak ty nápady o nějakém zasahování do veřejné telko sítě jsou liché. Pokud je předávací rozhranní až za tím bezdrátovým routerem - na kabelu mezi ním a tvým routerem, tak ta krabička je ještě součástí veřejné sítě operátora a zasahováí do ní i z dobré vůle je v rozporu se zákonem. A vtipné je, že i v takovém případě je ISPík relativně z obliga, legislativa je nastavena tak, že je dost omezena jeho odpovědnost za to, co dělá jeho síť, pokud to neudělal úmyslně nebo hrubě neporušil svoje povinnosti, což bude třeba nějak dokázat. Takže opět je relativně v klidu, pokud to není jak doložit a mlčíš. Takže takhle je vidět, že ISPíkovi to netrhalo žíly, neměl důvod se vzrušovat, dokud mu síť nějak funguje. :-(
Samozřejmě je v takovém případě nejlepší odchod jinam a doufat, že jinde to bude lepší...

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #66 kdy: 12. 06. 2021, 22:39:06 »
Já neřeknu více než to, že je to někde na severní Moravě.... pánové prosím, vžijte se do mé situace....to jestli napráším nebo nenapráším ISP je pro mě teď opravdu to poslední....chápu, že někdo z toho má dobrou zábavu, ale já teď řeším, jak se domluvit s novým ISP, jak vrátit starému ten jeho router.....a hlavně co mám dělat s koncovými zařízeními? Stačí sledovat jestli nebudou komunikovat někam? Nebo rovnou to co půjde (i když komplikace s tím je vždycky) přeinstalovat? Některá zařízení jsou ale z říše "internetu věcí" a jentak přeinstalovat nejdou...i když ty moc ani neumožňují modifikovat firmware přes ETH. Ale já nevím, k některým věcem jsem lezl přes SSH a SFTP, dále přes  vzdálené plochy ...něco komunikuje v režimech server-klient.... Stahoval jsem přes to různé aktualizace.... některé linuxové systémy i instal přímo z netu....mohlo do toho při tom něco vlézt? Znovu opakuji měl jsem tam DNS správně ve svém routeru a komunikace z většiny stejně byla IP na IP.......ale je to prostě pro mě tragédie.
Naprášit ISP můžeš i později, není to pro zábavu, ale třeba to někomu může pomoct.
Jelikož jsi tajemný jak hrad v Karpatech, co se infrastruktury týče, těžko radit. Sledovat provoz nepomůže, neznámý je třeba zarazit. Každopádně bych asi začal inventarizací, kategorizací dle technologie, rizik a dle možnosti nového začátku (reinstalace, reset do firemního nastavení apod). Je  na tobě, zda věříš svému firewallu a jeho nastavení nebo ne,to nikdo  jiný nedokáže  posoudit. Tak jak tak, polovičaté řešení ti bezpečnosti ani klidu nepřidá.

SB

  • ***
  • 242
    • Zobrazit profil
    • E-mail
Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #67 kdy: 14. 06. 2021, 11:32:17 »
Když se to vezme do důsledku, tak tazatele ten lempl poskytovatel nejen ohrozil, ale ještě mu přidělal práci.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #68 kdy: 14. 06. 2021, 21:02:58 »
Ještě se zeptám, v jednom příspěvku zde se mluví, že je lepší mít zaveden IPV6 a ve firewallu mu všude dát drop. Jaký je rozdíl oproti nastavení, kdy se IPV6 rovnou celé zakáže v Packages? Dekuji

Už jedu přes nového ISP.

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #69 kdy: 16. 06. 2021, 19:45:56 »
Já jsem to pochopil tak, že když jel celé IPV6 zakázané, tak zvenku dovnitř se nemůže nikdo dostat? Je to tak? Maximálně by asi mohly komunikovat zařízení v rámci LAN?

Dnes se mi ozval původní ISP s nabídkou...nižší cena a že pry se na všem dohodneme....

M_D

  • ***
  • 177
    • Zobrazit profil
    • E-mail
Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #70 kdy: 17. 06. 2021, 07:56:42 »
V podstatě, pokud nemám IPv6 balíček aktivován a ten router bude fungovat i jako bridge, tak mohou přes bridge IPv6 (a jiné pakety) procházet. Pokud budu mít IPv6 modul nahozne a všude bude dropování i na L2,  tak ho to odstřelí. Ale pokud chci už tak poctivě to řešit, tak mám samozřejmě aplikovaný L2 firewall, který vysloveně propouští jen pakety s IPv4 a vše ostatní dropuje, aby si někdo nechtěl přes mé zařízení zkoušet posílat jakýkoliv jiný obskurní protokol. :-)

Re:Napadený Mikrotik (klientská jednotka) ISP
« Odpověď #71 kdy: 18. 06. 2021, 07:09:23 »
Mezi "vstupem" a "výstupem" samozřejmě bridge nemám. Bridge je i po továrním nastavení u mikrotiků jen mezi lan porty. Tedy snad to chápu správně, že IPv6 pakety mohou běhat v lan, ale už ne z wan do lan. Proto mi to bylo divné.