Утратил доступ к MikroTik из WAN и LAN через WinBox (Router OS 6.47.1) - взломали?

[mafijs]

Такая мысль -
Порты все бриджах или есть которые свободны?
Как там - если порт нигде не использован, "висит" свободно, то не него не должны действовать правила firewall ? Или ошбаюсь?
Нужен телефон с интернетом, нотбук и LAN кабель. На телефоне поднять точку доступа, законектить туда нотбук. И соеденить нотбук по LAN на прямую роутером с этми портом.
А далее дело техники через Teamviewer , Anydesk .

[xvo]

Что-то я не пойму, а смысл всего этого, если пароли поменяны?
Хоть через консоль подключайся, а без правильного пароля он не пустит.

Собственно через консоль и надо попробовать.
Если не пустит, то всё, сбрасывать.

[mafijs]

ERROR: could not connect to xxx.xxx.xxx.xxx
Я так понимаю, что не пускает к доступу, а не не верный пароль.
ERROR: wrong username or pasword

[xvo]

Я понимаю по IP можно как-то случайно в собственный банлист улететь.
Но если он раньше пускал по маку, а теперь не пускает, то само такое случиться не могло.

То есть очень похоже, что кто-то целенаправленно его закрыл.

По мне, две вещи проверить надо:
1) Перегрузить по питанию.
2) Подключиться через консоль.

[podarok66]

Прям прочитал всю ветку с несказанным удовольствием. Как детектив какой. Подведём итоги.
1. Роутер недоступен через Winbox, причём вероятнее всего дело не в смене пароля.
2. Роутер очень далеко и попасть к нему возможности нет.
3. SSH по какой-то неочевидной причине не используется, несмотря на то, что это наиболее гибкий и малоёмкий в плане ресурсов вариант.
4. Цепочки форвард работают, как и раньше.
5. Использовались пакеты ветки stable.

Выводы и рекомендации:
1. Long term вместо stable - даже не обсуждается.
2. SSH по ключам на нестандартном порту с правилами защиты от брутфорса (у Vlad-2 есть великолепный вариант здесь на форуме, брать и применять)
3. В порядке бреда - можно попробовать вход по API, обычно на этот вариант внимания не обращают, но помнится одному из юзеров помогло.
4. Кстати, вход через Winbox при перенастройке как минимум перенести на другой порт, если он совершенно необходим.
5. Кстати, можно все подключения к роутеру организовывать через туннели с авторизацией по сертификатам и ключам. Думаю немного сложнее взломать.
6. Версию взлома не отбрасываю, но и на веру принять не могу, в той же статье с хабра версия программного обеспечения 6.45.6. С тех пор прошло довольно много времени и такие вещи давно закрыты.
7. Версию блокировки из-за ошибки в правилах считаю более вероятной, тем паче описанные обрывы, а после ночи пропажа соединения похожи на вариант, когда при запрете адреса, работа на него какое-то время продолжается через established и related соединения.
8. Наиболее приемлемым видится вариант, при котором ТС готовит простой вариант конфигурации в текстовом формате *.rsc . На объекте ищется человек, пусть даже эникейщик, с минимальной технической грамотностью. Ему отсылается файл конфигурации, инструкция по сбросу и загрузке высланной конфигурации. Как только конфигурация применится, подключается по удалёнке спец и срочно донастраивает железо до серьёзного уровня, в том числе и безопасности.
Да это не быстро, да нужен человек на точке, но иначе альтернативой будет ожидание самолёта и надежды, что всё это время железка проработает без сбоев. В любом из вариантов есть свои недостатки, но мир вообще несовершенен

[Alex_2019]

Я понимаю по IP можно как-то случайно в собственный банлист улететь.
Но если он раньше пускал по маку, а теперь не пускает, то само такое случиться не могло.

То есть очень похоже, что кто-то целенаправленно его закрыл.

По мне, две вещи проверить надо:
1) Перегрузить по питанию.
2) Подключиться через консоль.

Я тоже склоняюсь к мысли, что злоумышленники каким то образом смогли получить доступ к микротику. Скорее всего это произошло по причине того, что я за несколько часов до потери доступа к микротику внес в белый лист одну подсеть, но слишком широко, /16
Подобрать пароль не могли, но могли запрашивать syn-флуд и используя эту технологию и дыры в Router OS заставить роутер загрузить левую прошивку, перепрошиться в 3:31 ночи на старую прошивк, после чего из-за разницы в прошивках моя конфигурация VPN-соединений перестала работать. Плюс отрубили все мои аккаунты.

Поскольку питание мне не отключить в виду нахождения за тысячи километров от устройства я обречен наблюдать что происходит... И потихоньку менять на остальных микротиках логины и пароли.

[Alex_2019]

Что-то я не пойму, а смысл всего этого, если пароли поменяны?
Хоть через консоль подключайся, а без правильного пароля он не пустит.

Собственно через консоль и надо попробовать.
Если не пустит, то всё, сбрасывать.

Если бы я находился рядом с микротиком, то не задумываясь перепрошил бы роутер, накатил сохраненный бэкап настроек, и думал бы как избежать повторения ситуации.
Учитывая, что не я один потерял доступ к микротику - проблема системная. Жаль только, что не удается найти других "живых" пострадавших, чтобы понять что привело к такому результату кроме одинакового номера прошивки.

[Alex_2019]

ERROR: could not connect to xxx.xxx.xxx.xxx
Я так понимаю, что не пускает к доступу, а не не верный пароль.
ERROR: wrong username or pasword

Я никогда не видел, чтобы winbox писал мне ERROR: wrong username or pasword
хотя я иногда путал логины от одного микротика пытаясь подключиться к другому.
Каждый раз сообщения одинковые малоинформативные: ERROR: could not connect to xxx.xxx.xxx.xxx

[Alex_2019]

Прям прочитал всю ветку с несказанным удовольствием. Как детектив какой. Подведём итоги.
1. Роутер недоступен через Winbox, причём вероятнее всего дело не в смене пароля.
2. Роутер очень далеко и попасть к нему возможности нет.
3. SSH по какой-то неочевидной причине не используется, несмотря на то, что это наиболее гибкий и малоёмкий в плане ресурсов вариант.
4. Цепочки форвард работают, как и раньше.
5. Использовались пакеты ветки stable.

Выводы и рекомендации:
1. Long term вместо stable - даже не обсуждается.
2. SSH по ключам на нестандартном порту с правилами защиты от брутфорса (у Vlad-2 есть великолепный вариант здесь на форуме, брать и применять)
3. В порядке бреда - можно попробовать вход по API, обычно на этот вариант внимания не обращают, но помнится одному из юзеров помогло.
4. Кстати, вход через Winbox при перенастройке как минимум перенести на другой порт, если он совершенно необходим.
5. Кстати, можно все подключения к роутеру организовывать через туннели с авторизацией по сертификатам и ключам. Думаю немного сложнее взломать.
6. Версию взлома не отбрасываю, но и на веру принять не могу, в той же статье с хабра версия программного обеспечения 6.45.6. С тех пор прошло довольно много времени и такие вещи давно закрыты.
7. Версию блокировки из-за ошибки в правилах считаю более вероятной, тем паче описанные обрывы, а после ночи пропажа соединения похожи на вариант, когда при запрете адреса, работа на него какое-то время продолжается через established и related соединения.
8. Наиболее приемлемым видится вариант, при котором ТС готовит простой вариант конфигурации в текстовом формате *.rsc . На объекте ищется человек, пусть даже эникейщик, с минимальной технической грамотностью. Ему отсылается файл конфигурации, инструкция по сбросу и загрузке высланной конфигурации. Как только конфигурация применится, подключается по удалёнке спец и срочно донастраивает железо до серьёзного уровня, в том числе и безопасности.
Да это не быстро, да нужен человек на точке, но иначе альтернативой будет ожидание самолёта и надежды, что всё это время железка проработает без сбоев. В любом из вариантов есть свои недостатки, но мир вообще несовершенен

Огромное спасибо за дельные советы.
Однозначно как окажусь рядом с проблемным микротиком, так после возврата его к "нормальной жизни" выполню:
1) сменю прошивку на Long term вместо stable
2) включу SSH по ключам на нестандартном порту с правилами защиты от брутфорса (он был отключен так как им не пользовался, просто послушался советов отключить всё чем не пользуюсь)
Посмотрел экспорт - там: set ssh disabled=yes
Безусловно, было крайне легкомысленно не оставить себе шансов для доступа к Микротику в случае падения доступа посредством Winbox`а.
Настройку SSH и защиту планирую по советам из заметки "ЗАЩИТА MIKROTIK" https://wiki.merionet.ru/seti/4/mikroti ... nastrojke/
3) про вариант с API - мне это сложновато, т.к. Питон не освоил пока что, а главное, это у меня запрещено всё чем не пользуюсь, включая:
set api disabled=yes
set api-ssl disabled=yes
4) Winbox перенести на другой порт не могу, т.к. перестает при этом корректно работать The DUDE сервер - уже проверял. Это огромный минус, бился долго, в результате вернул стандартный порт и настроил занесение в черные списки всех любопытных кроме тех, кто в белом списке.
5) Уже реализованы подключения к роутеру организовывать через туннели, нужно будет выполнить советы: "ВСЕ... с авторизацией по сертификатам и ключам", пока что соединения между микротиками без использования сертификатов настроены
6) очень хочется надеяться, что это не взлом был... реально обломно потратить огромные силы на то, чтобы разобраться, настроить как я думал надежно от хакеров, и тем не менее попасть в просак
7) Версию блокировки из-за ошибки в правилах не могу исключить, т.к. я в последние сутки постоянно пытался разобраться почему не удается корректно соединиться удаленному устройству из LAN с ftp-сервером поднятом на микротике. Разбирался до ночи, теоретически мог что-то нажать, а поскольку все работало и не отключалось в силу разрешающих правил файрвола на установленные соединения, то я могу не осознавать своей ошибки.
8) Идея найти эникейщика мною обдумывалась... но оборудование специально установлено в безлюдном месте.

Все ещё размышляю стоит ли просить провайдера отключить минут на 15 сигнал в кабеле или нет? Приведёт это к перезагрузке роутера или нет в ситуации, когда у меня прописано так:
/system watchdog
set ping-start-after-boot=1d ping-timeout=10m watch-address=8.8.8.8 \
watchdog-timer=no
У меня такое ощущение, что у меня вотчдог отключен. Описание настройки сторожевого таймера можно посмотреть, например, по ссылке https://www.technotrade.com.ua/Articles ... tchdog.php

Уверен, что эта история научит меня, а может еще и кого-нибудь из читателей ветки к доп.мерам, которые позволят сохранить удаленный доступ к оборудованию в случае непредвиденной ситуации.

[Ca6ko]

Наблюдаю за эпопеей.
Согласен с podarok66 что вероятнее всего доступ Вы заблокировали себе сами. Но проверить теперь это будет сложно.
Чем отличается умный сисадмин от обычного? Умный учится на чужих ошибках
Если есть возможность попытаться перегрузить то пробуйте, просите провайдера отключить доступ на час чтоб наверняка- вдруг поможет.
На каком-то МУМе оутсорсеры рассказывали, что на удаленном объекте сразу ставят LtAP mini kit и подсоединяют его не только в сеть, но и RS 232 консольно к оборудованию.
Старая советская поговорка "Чтобы хорошо жить нужно иметь черный вход и запасной выход"
Микротиков много не бывает