Утратил доступ к MikroTik из WAN и LAN через WinBox (Router OS 6.47.1) - взломали?

[Alex_2019]

Наблюдаю за эпопеей.
Согласен с podarok66 что вероятнее всего доступ Вы заблокировали себе сами. Но проверить теперь это будет сложно.
Чем отличается умный сисадмин от обычного? Умный учится на чужих ошибках
Если есть возможность попытаться перегрузить то пробуйте, просите провайдера отключить доступ на час чтоб наверняка- вдруг поможет.
На каком-то МУМе оутсорсеры рассказывали, что на удаленном объекте сразу ставят LtAP mini kit и подсоединяют его не только в сеть, но и RS 232 консольно к оборудованию.
Старая советская поговорка "Чтобы хорошо жить нужно иметь черный вход и запасной выход"
Микротиков много не бывает

1. Благодарю за совет! Учитывая то, что предложенное решение опытных админов, которые используют достаточно редкое в продаже решение Mikrotik LtAP mini kit + постоянную оплату интернета на сим-картах, да еще и с выделенным IP адресом скорее всего, решение исключительно для бизнеса. Сам роутер стоит порядка 9 тысяч рублей, плюс рублей 500 ежемесячная плата за интернет. Реально недешёвое решение, но в определённых ситуациях это безусловно оправдано.

По ссылке найденные цены на устройство
https://market.yandex.ru/product--wi-fi ... mini%20kit

2. Полностью согласен, что умные учатся на чужих ошибках. Стараюсь поступать по-умному, часто удаётся, но не всегда. Для того и делюсь своими находками, чтобы тем, кто ищет ответ на схожие вопросы, было проще найти советы опытных неравнодушных знатоков Микротиков.

3. По поводу отключить на час сигнал на кабеле от провайдера. Просто так не хочется напрягать провайдера, пока я не буду точно понимать, что эти действия приведут к перезагрузке роутера. Моё не очень глубокое знание Router OS не позволяет по тексту в файле EXPORT с настройками микротика быть уверенным, что функция перезагрузки у меня отключена в случае пропадания пинга до 8.8.8.8
Именно этот вопрос и стоит сейчас, что означает NO в контексте написанного.

/system watchdog
set ping-start-after-boot=1d ping-timeout=10m watch-address=8.8.8.8 \
watchdog-timer=no

Правильно ли я понимаю, что вотчдог у меня выключен полностью? Я его то включал, то выключал, то настраивал, чтобы он после однократной перезагрузки потом долго не перезагружался, чтобы не мешать работе локальной сети. В итоге вроде отключил полностью...

[xvo]

Моё не очень глубокое знание Router OS не позволяет по тексту в файле EXPORT с настройками микротика быть уверенным, что функция перезагрузки у меня отключена в случае пропадания пинга до 8.8.8.8
Именно этот вопрос и стоит сейчас, что означает NO в контексте написанного.
/system watchdog
set ping-start-after-boot=1d ping-timeout=10m watch-address=8.8.8.8 \
watchdog-timer=no

Вот что, интересно, мешало вам за эти несколько дней проверить, зайдя на любой другой микротик? :)

watchdog-timer=no значит отключен.
Так что провайдера дергать смысла нет.

[Alex_2019]

Моё не очень глубокое знание Router OS не позволяет по тексту в файле EXPORT с настройками микротика быть уверенным, что функция перезагрузки у меня отключена в случае пропадания пинга до 8.8.8.8
Именно этот вопрос и стоит сейчас, что означает NO в контексте написанного.
/system watchdog
set ping-start-after-boot=1d ping-timeout=10m watch-address=8.8.8.8 \
watchdog-timer=no

Вот что, интересно, мешало вам за эти несколько дней проверить, зайдя на любой другой микротик? :)

watchdog-timer=no значит отключен.
Так что провайдера дергать смысла нет.

Большое спасибо за ответ. Не проверял на другом микротике, т.к. склонялся к мысли, что NO означает именно то, о чем вы написали. Спасибо!
Одновременно я начинаю склоняться к версии, озвученной здесь минимум двумя опытными сисадминами: вероятно я сам какими то своими действиями заблокировал себе доступ, а сразу этого не смог заметить, т.к. в файрволе разрешены established соединения.
В последние десятки часов я замечал, что отваливался, а затем поднялся sstp канал до одного из микротиков, потом я решил внести в белый список IP адреса одного из провайдеров мобильного интернета, с адресов которого собирался подключиться к интернету (указал слишком широкую маску /16 ). В тот диапазон попал как минимум один адрес, внесенный в блэк-лист.

Учитывая, что я лишился возможности связываться с Микротиком сразу со всех адресов из White List начинаю думать, что каким то непонятным пока мне образом, мой белый список попал в Блэк-лист.

Нашел одну видеозапись о такой ситуации:
https://www.youtube.com/watch?v=g6rPVwc1duE (видеосоветы MikroTik: рассмотрим пару подводных камней динамической защиты)
и под тем видеоуроком любопытный скрипт для защиты микротика от переполнения блэк-листа во время ботнет-атак https://drive.google.com/file/d/150QL5L ... DN-PC/view

Можете ли посоветовать, что почитать на тему попадания всего белого листа в чёрный? Как от этого защититься?

[xvo]

Учитывая, что я лишился возможности связываться с Микротиком сразу со всех адресов из White List начинаю думать, что каким то непонятным пока мне образом, мой белый список попал в Блэк-лист.

Ну уж скорее тогда просто в дропающем правиле промахнулись с выбором листа.

Но только это никак не объясняет, почему вы по маку из локалки залогиниться не можете.

[podarok66]

Можете ли посоветовать, что почитать на тему попадания всего белого листа в чёрный? Как от этого защититься?

Ну вы же знаете, надеюсь, что правила в Микротике выполняются по порядку? Следовательно Если вы имеете WhiteList, доступ с которого необходим всегда, создаёте разрешающее правило именно для WhiteList и поднимаете его выше запрещающего. Классика! Это единый принцип для всех фаерволов такого типа. Удобно. Задали разрешающие правила, обезопасили себя, так сказать. Затем запрещайте себе на здоровье, только выше разрешающих правил не лезте.

[Alex_2019]

Учитывая, что я лишился возможности связываться с Микротиком сразу со всех адресов из White List начинаю думать, что каким то непонятным пока мне образом, мой белый список попал в Блэк-лист.

Ну уж скорее тогда просто в дропающем правиле промахнулись с выбором листа.

Но только это никак не объясняет, почему вы по маку из локалки залогиниться не можете.

Меня смущает то, что микротик несколько дней (примерно неделю или больше) прожил после включения дропающих правил до того как обрубить доступ. За несколько часов я только правил белый список (сильно увеличил диапазон разрешенных IP)

[Alex_2019]

Можете ли посоветовать, что почитать на тему попадания всего белого листа в чёрный? Как от этого защититься?

Ну вы же знаете, надеюсь, что правила в Микротике выполняются по порядку? Следовательно Если вы имеете WhiteList, доступ с которого необходим всегда, создаёте разрешающее правило именно для WhiteList и поднимаете его выше запрещающего. Классика! Это единый принцип для всех фаерволов такого типа. Удобно. Задали разрешающие правила, обезопасили себя, так сказать. Затем запрещайте себе на здоровье, только выше разрешающих правил не лезте.

У меня белый список в разделе RAW разрешается, первой строчкой. Затем идут несколько списков, некоторые списки загружаются скриптами с западных ресурсов, некоторые формируются руками, остальные автоматически составляются роутером.

/ip firewall raw
add action=accept chain=prerouting comment="my WhiteList 2020-08-04 " \
src-address-list=WhiteList
add action=drop chain=prerouting comment=\
"Zapret - NetBIOS Name Service \\96 UDP 137-139 (2020-05-12)" dst-port=\
137,138,139 in-interface=bridge4_WAN protocol=tcp
add action=drop chain=prerouting comment="my blacklist + SpamHaus " \
src-address-list=blacklist
add action=drop chain=prerouting comment=\
"BlackDudeWinbox 2020-06-29 denied winbox/dude connect from " \
src-address-list=BlackDudeWinbox
add action=drop chain=prerouting comment=\
"auto BlackList 2020-06-17 bruteforce ports" src-address-list=BlackList
add action=drop chain=prerouting comment="voip-blacklist 2020-06-17" \
src-address-list=voip-blacklist
add action=drop chain=prerouting comment="auto DNS_FLOOD" src-address-list=\
DNS_FLOOD
add action=drop chain=prerouting comment=\
"my zapret (block IP iznutri) 2020-06-17" src-address-list=zapret
add action=drop chain=prerouting comment=ddosed src-address-list=ddosed
add action=drop chain=prerouting comment=ddoser src-address-list=ddoser
add action=drop chain=prerouting comment=\
"TCP connection established from (2020-06-30)" src-address-list=\
BlackTCPconnEstablished

[Alex_2019]

Информация о счастливом завершении истории с недоступностью Микротика по Winbox.

Прилетел к оборудованию, подключился к нему проводом - WinBox не отвечает, хотя интернет раздает.
Выключил питание, через 15 секунд подал питание 220 вольт.

После загрузки роутера все его функции восстановились. Зашел через винбокс - вроде ничего необычного не увидел. The Dude клиент сразу увидел микротик и отобразил картину. За дни, когда устройство было недоступно, микротик статистику не вёл, графики не сохранены.
В чем было дело - так и не понял. Может ли это быть связано с работой The DUDE сервера - не знаю. Может быть переполнилась память Микротика, но это просто моя версия...

Если кто-то знает, посоветуйте, какие разделы проверить, где хакеры оставляют следы в случае получения доступа к микротикам. Чужих скриптов не обнаружил. Склоняюсь к мысли, что взлома микротика не было.

[xvo]

Графика загрузки CPU непосредственно перед событиями, как я понимаю, тоже нет?
А то была ветка на офф форуме, что у 4011ых (они на том-же проце) есть или была проблема, что одно ядро лочится на 100%
Больше конкретики не помню, поищите.

[Alex_2019]

Графика загрузки CPU непосредственно перед событиями, как я понимаю, тоже нет?
А то была ветка на офф форуме, что у 4011ых (они на том-же проце) есть или была проблема, что одно ядро лочится на 100%
Больше конкретики не помню, поищите.

Благодарю за идею про график загрузки ЦПУ!
У меня в настройках The DUDE server стоят в закладке Services:
- cpu
- disk
- memory
но эти три строчки помечены в колонке Problem словом "down"
Мне не удалось (не понимаю почему) сервер DUDE успешно опрашивать микротик на котором живёт Дюде.
Поэтому графиков загрузки процессора не имеется :(