Утратил доступ к MikroTik из WAN и LAN через WinBox (Router OS 6.47.1) - взломали?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

Коллеги, выручайте! Утратил доступ к настройкам MikroTik !
Дело было так:
MikroTik RB1100AHx4 Dude Edition (с белым IP), прошивка 6.47.1 Stable, настроен и всё на нем крутится прекрасно.
На нем белый IP, другие микротики заходят на него и поднимают VPN-туннели, роутинг настроен, всё прекрасно (было до сегодняшней ночи).
Но вчера позно вечером имел неосторожность внести одну большую подсеть /16 в белый список, причем белый список в прероутинге пропускается вперед черного списка, который отрабатывается в файерволе.
Я обратил внимание, что в черном списке более 20 тыс IP заблокировано, причем один из них попал в тот диапазон IP который я включил в белый список. Но мне нужно было понять почему у меня отваливается соединение с FTP-сервером (поднят на микротике), но я рискнул. Первый час было "все хорошо" , продолжал разбираться почему постоянно логинится разлогинивается ftp-клиент.
Сделал перерыв на несколько часов (поздно вечером отправил в сон компьютер с запущенными WinBox`ами и клиентом TheDUDE). Утром в 10 часов удаленный Микротик и оборудование за ним оказались уже недоступны!!!

Все микротики с серыми IP не могут поднять соединения с Микротиком (который с белым IP). В логах други микротиков (подключился к ним по резервным каналам) вижу одинаковое время потери связи в 3:31 ночи. Возникает ощущение, что произошло что-то, сначала "грешил" на электропитание или интернет-провайдера. Техподдержка интернет-провайдера не отвечала - несколько раз звонил, возможно суббота "виновата". Микротик же RB1100AHx4 Dude Edition с двойным питанием: через UPS и напрямую к розетке (в нем 2 блока питания ввстроено).

Все серверы за проблемным микротиком в 10 утра были недоступны. Пинги до микротика в 12 дня доходили с потерей 47%.
К 12:30 пинги стали проходить стабильно без потерь. Серверы по RDP за проблемным микротиком стали доступны.
Но сам микротик не пускает по WinBox ни снаружи по внешнему IP, ни с сервера по внутреннему IP. То есть пинги до микротика и на WAN проходят без потерь, и по LAN без потерь.
А винбокс не пускает.
На микротике специально несколько логинов-паролей. Стандартные логины отключены. Пароли все очень длинные-случайные. Перестали отвечать все!

Такое ощущение, что хакеры сначала заDDOSили микротик, завалили его, что-то изменили внутри в настройках.

За несколько часов до этих событий замечал падение sstp-туннеля и трафик с удаленного микротика на этот шел по pptp-туннелю через четвертый микротик ! И внес в белый список я как раз ту подсеть (мобильного оператора связи) на которой были эти странности. Может их заинтересовал трафик идущий по sstp-туннелю, в результате чего рубанули sstp...

Посоветуйте как мне пробовать получить доступ к Микротику, чтобы выяснить почему он перестал отвечать на попытки войти по винбоксу. Почему не поднимает туннели и т.п.
По идее мне бы перезагрузить микротик, но физического доступа к оборудованию ближайший месяц не предвидится :(

Пробовал в WinBox включать Legacy Mode - не помогает.
Когда пробую соединиться с сервера подключенного UTP-кабелем к микротику по LAN то WinBox пишет:
ERROR: could not connect to xxx.xxx.xxx.xxx
причем без разницы вводим локальный адрес или внешний.

Заранее благодарю за любые идеи!
Последний раз редактировалось Alex_2019 16 авг 2020, 19:46, всего редактировалось 4 раза.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Alex_2019 писал(а): 15 авг 2020, 15:45 Серверы по RDP за проблемным микротиком стали доступны.
Через них и подключитесь к микротику из внутренней сети исполюзуя МАС адреса.


Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

mafijs писал(а): 15 авг 2020, 16:29
Alex_2019 писал(а): 15 авг 2020, 15:45 Серверы по RDP за проблемным микротиком стали доступны.
Через них и подключитесь к микротику из внутренней сети исполюзуя МАС адреса.
Благодарю за идею! Сам забыл проверить этот вариант.
Заменил IP адрес мак-адресом (скопировал его копи-пастом с заведомо правильной заранее сохраненной памятки).
НЕ ПОМОГЛО!

Еще дополнение: сервер за микротиком к которому успешно подключаюсь по RDP (с перенаправлением портов сквозь микротик) включен очень давно. В нем открыты два WinBox`а для просмотра сразу двух разных микротиков.
При переключении на вкладку Neighbors оба показали мак микротика. Этот мак откличается от того, к которому я обычно подключался.
Итого я пытался подключиться по двум макам - не получилось. Винбокс пишет ERROR: could not connect to xxx.xxx.xxx.xxx
Кроме того, пропинговал алиасы микротика, все пингуются, но винбокс ни по какому IP адресу или существующему в Микротике маку не разрешает подключаться, выдавая Error.

Важно то, что после попытки подключиться к соседнему микротику из вкладки Neihbors выскакивает Error, а на вкладке Neighbors больше не высвечивается никаких устройств. Второй открытый винбокс еще помнит (на вкладке Neighbors) о том, что рядом был виден Микротик. То есть с Микротиком в 3:31 ночи произошли какие то события, которые привели к каким то изменениям в настройках. Только не понимаю как это могло произойти. Никто кроме меня паролей не знает, но перехватить трафик с паролями теоретически возможно, но это уже должны быть специалисты.

При доступе с WAN у меня (вроде бы) был установлен запрет сообщать о том, что это Микротик. А из LAN ограничений не стояло. Пришла в голову мысль, что если к LAN портам по какой то причине применились правила для WAN ? Но это из области фантазий - я ничего такого сам не прописывал.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

Пришла в голову ещё одна мысль что могло произойти.

У меня настроено, что Микротик добавляет в черный список IP адресов на которые инициируется отправка с моего микротика DNS-флуда. Такое ощущение, что по udp присылаются запросы прикрываясь адресами жертв атаки. И если такие запросы поступают, то они у меня попадают в черные списки на несколько (много) дней. Пока не было настроено такое правило блокироки, флуд-трафик наружу поражал своим количеством.

На проблемном микротике перестали работать
1. PPP сервисы (Микротик перестал поднимать VPN соединения: и сам не стучится на удаленные, и удаленные не пускает к себе).
2. Перестал отвечать включенный (без логина-пароля) сервер Bandwidth Test

Продолжают работать:
1. Получение интернета из ether1 и раздача интернета по LAN
2. Проброс портов

ВОПРОС: можно ли прислать такой запрос снаружи (из WAN) c каким то IP адресом (возможно из частной зоны), при блокировке которого работоспособность Микротика окажется ограниченой?

P.S. Микротик стоит за D-LINK`ом провайдера, но провайдера также были видны в качестве "соседей" несколько Mikrotik`ов , причем с устаревшими прошивками. Не знаю, может ли это иметь значение.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

У меня пару месяцев назад была проблема: потерял доступ к Микротику - слетел пароль! Поэтому я сделал несколько логинов с разными полномочиями и разными паролями. Теперь ни по одному логину-паролю Микротик не пускает. Не понимаю причину.

Стал искать информацию по уязвимостям Микротика в 2020 году. И нашел описание именно моего случая:
у меня включен WinBox и d DNS settings стоит галочка Allow Remote Requests
https://habr.com/ru/post/473676/ "29 октября 2019 в 18:11
Backport уязвимость в RouterOS ставит под угрозу сотни тысяч устройств "
В статье написано:
"Возможность удаленного даунгрейда устройств на базе RouterOS (Mikrotik) ставит под угрозу сотни тысяч сетевых устройств. Уязвимость связана с отравлением DNS-кеша Winbox протокола и позволяет загрузить устаревшую (со сбросом пароля «по-умолчанию») или модифицированную прошивку на устройство."
...
"Очевидно, что эта атака также полезна, если маршрутизатор действует как DNS-сервер, поскольку он позволяет атаковать клиентов маршрутизатора."
"Также эта атака позволяет проэксплуатировать более серьезную уязвимость: произвести даунгрейд или бэкпортирование версии RouterOS. Атакующий воссоздает логику сервера обновлений, включая changelog и заставляет RouterOS воспринять устаревшую (уязвимую) версию как актуальную. Опасность здесь кроется в том, что при «обновлении» версии пароль администратора сбрасывается в значение «по-умолчанию» — злоумышленник может войти в систему с пустым паролем!"

У меня как раз такая ситуация, по сути упали все маршруты, а сам микротик стал недоступен по установленным мною логинам-паролям!
По логину admin и пустому паролю мне не зайти - после прочтения статьи попробовал этот вариант.

UPD! ВНИМАНИЕ! Админ призывает НЕ ПЕРЕХОДИТЬ на 6.47 версию, т.к. потеряли доступ к Микротику несколько клиентов
https://www.youtube.com/watch?v=mx9VnA1ae7I
В 6.47 появились какие то проблемы с DNS и DHCP. Рекомендуют откатываться назад на последнюю из 6.46.6 !


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну что же, сочувствую. Хотя и не понимаю, что могло заставить опытного админа в продакшн-железке использовать без крайней нужды ветку stable вместо ветки long term. Ладно я на близлежащих маршрутизаторах гружу ветку stable - мне как модеру просто иногда надо быть в курсе нововведений. В частности DoH вот тестируется уже несколько недель. Но вам-то зачем было тащить роутер в это болото?
Кстати, вы ничего не пишите по поводу доступа по ssh. Как из интернета, так и с подключённых серверов. Есть у меня парочка Микротиков, вообще не имеющих доступа к себе из-вне, но вполне допускающих этот доступ с серверов, подключённых к ним как через локалку, так и посредством туннелей. Это может быть вариантом войти на железку, если всё же случился не взлом, а ошибка в правилах.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

podarok66 писал(а): 16 авг 2020, 20:44 Ну что же, сочувствую. Хотя и не понимаю, что могло заставить опытного админа в продакшн-железке использовать без крайней нужды ветку stable вместо ветки long term. Ладно я на близлежащих маршрутизаторах гружу ветку stable - мне как модеру просто иногда надо быть в курсе нововведений. В частности DoH вот тестируется уже несколько недель. Но вам-то зачем было тащить роутер в это болото?
Кстати, вы ничего не пишите по поводу доступа по ssh. Как из интернета, так и с подключённых серверов. Есть у меня парочка Микротиков, вообще не имеющих доступа к себе из-вне, но вполне допускающих этот доступ с серверов, подключённых к ним как через локалку, так и посредством туннелей. Это может быть вариантом войти на железку, если всё же случился не взлом, а ошибка в правилах.
Как раз недостаток негативного опыта не позволил принять решение о использовании long term прошивки, хотя читал несколько раз советы бывалых на данный счёт.
Проверил сохраненный совсем недавно экспорт настроек, убедился, что SSH отключен у меня,
ssh`ем не пользовался, отключил его, а зря...: set ssh disabled=yes

Зато обнаружил, что set telnet address="...." среди перечисленных присутствует тот внешний IP, на котором я сейчас. А IP локальной машины изнутри LAN к которой проброшен порт RDP наоборот не вписан. Буду пробовать подключиться по telnet - к этому микротику по telnet ни разу не подключался пока что.

К стандартному порту Winbox (не менял его по причине включенного сервера The DUDE, который некорректно работает, вернее не работае с нестандартным портом) стоит ограничение по IP, но к сожалению туда недавно добавил три подсети /16 , чтобы самому иметь возможность подключаться с мобильных операторов связи в ситуации, если отвалится доступ к второму микротику с белым IP (на нем провайдер месяц назад без предупреждения сменил IP и не вернул назад). Не исключаю, что причина в том, что хакеры пробрались к микротику именно с тех адресов.
Дозвонился до техподдержки провайдера, подтвердили, что последние дни наблюдали активность хакеров на их клиентов. Логи подробные по клиентам они не ведут. Но видят, что большого трафика Микротик не генерирует, видят только мизерный "технический" трафик. Отключение и включение порта WAN со стороны управляемого D-LINKa провайдера не помогло ничем.

UPD. При попытке подсоединиться по SSH, Telnet как с WAN так и с LAN по IP-адресам, которые пингуются, PUTTY пишет:
Network error: Connection refused

Из командной строки запускал на внешний IP адрес
>plink -v ххх.ххх.ххх.ххх
Looking up host "ххх.ххх.ххх.ххх" for SSH connection
Connecting to ххх.ххх.ххх.ххх port 22
We claim version: SSH-2.0-PuTTY_Release_0.74
Failed to connect to ххх.ххх.ххх.ххх: Network error: Connection refused
Network error: Connection refused
FATAL ERROR: Network error: Connection refused

Возникает ощущение, что ночью в результате какого то события сработало какое то запретное правило, которое запретило подключаться как из WAN так и из LAN с помощью VPN соединений, плюс заблокировался винбокс.
Одновременно роутер продолжает пропускать через себя интернет-трафик до сервера, и перенаправляет RDP соединения снаружи в локалку.
Не понимаю что нужно делать, чтобы в будущем не оказаться в такой же ситуации. Второй раз теряю доступ к этому роутеру, но если первый раз был рядом и глубоко не копал, то теперь мне не добраться до устройства, пытаюсь осознать что за глюк, особенно учитывая, что я не один такой.
Пока что рекомендации услышал такие:
- разрешить (не отключать) SSH доступ, причем только с определенных IP адресов,
- использовать прошивки только Long Term.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

Еще одна мысль возникла. Такое ощущение, что Микротик в результате непонятной ситуации глубоко ночью, когда никто (из знающих пароли) не работал с настройками Микротика, просто ЗАБЫЛ ВСЕ ПАРОЛИ. Перестали работать сервисы связанные с указанием/проверкой логина-пароля: PPP соединения (VPN-туннели), WinBox не принимает пароль, The DUDE server естественно стал недоступен с windows-клиента.
Мог ли как то повредиться файл с паролями, который хранится во внутренней памяти Микротика? Например, если логи записывались на диск и заняли все место на диске.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

PPP-пароли хранятся просто в конфиге.

С очень большой долей вероятности его все-таки ломанули.
Может быть пароль утянули ещё давно и только сейчас воспользовались.


Telegram: @thexvo
KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

Во всех этих длинных и емкий описания я так и не нашел информации поясняющей значение словосочетания - "не пускает". Он так и говорит, что пароль не верен? Или быть может просто не удается установить соединение и оно обрывается через какое-то время? Из описанного пока создается впечатление, что кто-то дудосит мирокт и поэтому к нему нельзя подключиться, отсюда и потери пакетов при пинге, что могло совпасть с добавление огромного пула адресов в "вайт лист", часть из которых была не очень-то и "вайт". Понять это легко и просто - дернуть его по питанию и на какое-тов непродолжительное время все заработает и доступ появится. Если все случится так, то нужно бежать как серверный олень и "закрываться" как можно скорее.


Ответить