Слетают пароли на роутерах!

Общение на отвлеченные темы
Ответить
vyazikov
Сообщения: 16
Зарегистрирован: 08 июл 2016, 18:49

Всем привет... у меня есть 3 офиса где стояит микротики 2011 и на всех внешний айпи адрес..
Выключены все сервисные порты кроме винбокса штатного
Месяц назад попытался зайти на один и Пароль не принимается микротиком. Учетка Admin. Длинна пароля 13 символов не думаю что его отбрутфорсили, сеть работает в штатном режиме. Раньше я постоянно раз в месяц на него заходил и пароль принимался. роутер грузанул ничего не поменялось, думаю хакнули наверное как -то. С трудом нашел древний бекап настроек восстановил и обвновился до послдней верии...

Сейчас, пытаюсь зайти на роутер во 2 офисе картина идентичная!! пароли разные между всеми офисами, вряд ли скомпромитировали или подобрали, прошивка 6.42.7 я на это роутер неделю назад заходил...

У кого были подобные ситуации??


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Думаю, что всё же кто-то посторонний на ваш роутер заходил. Потому как о самопроизвольной смене пароля на этом роутере до этого дня я не слышал. В любом случае рекомендации стандартные:
1. Перепрошивка через Netinstall - это безоговорочно. Простой сброс не настолько актуален, так как никто не знает, что произошло в действительности.
2. Никаких бэкапов, только настройка руками, только полный контроль конфигурации. А то восстанавливая конфигурацию из бэкапа, вы можете раз за разом восстанавливать и дыру в вашей системе безопасности.
3. Так как открытый порт Winbox себя уже скомпрометировал, настоятельно рекомендую не держать его открытым постоянно. Для доступа из наружной сети достаточно ssh на нестандартном порту с правилами брутфорса. Порт Winbox открывать только по необходимости и на краткое время. Можете попробовать настроить для этого port knocking.
4. Почему пользователь управления именно Admin? Оставляя логин дефолтным, вы облегчаете жизнь взломщикам. Пара логин и пароль , если они нестандартные, сами по себе являются достаточно сложной задачей для подбора. Например ChaAdaeff:PeY[s5a]tEl . Мне было бы интересно увидеть успешный подбор подобной пары за разумные сроки.
5. Если пользователей-админов на роутерах несколько, дайте каждому свой аккаунт, настройте логирование на удаленный сервер с доступом к серверу только одного и по логам анализируйте, кто и что делает на Микротике. Благо, сейчас можно виртуальный сервер арендовать за 100 рублей в месяц. Даже если из своего кармана, за пару-тройку месяцев вы поймёте хотя бы, что у вас происходит. Триста рублей в квартал ради понимания ситуации - не думаю что это много.
6. Уже в дополнение к предыдущему пункту, на том же сервере можно организовать периодический сбор бэкапов со всех роутеров. У меня на одном из старых серверов была реализована подобная вещь. Хранилось несколько сотен бэкапов (места они занимают мизер). Пару раз выручало здорово.
Я понимаю, что хочется просто вернуть "статус кво", восстановив пароли и ничего более не делать. Но это не даёт никаких гарантий, что через некоторое время ситуация не повторится. Поэтому я за хардкор, несмотря на мою ненависть к "паранойе".


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vyazikov
Сообщения: 16
Зарегистрирован: 08 июл 2016, 18:49

Netinstall -узнал для себя что -то новое спасибо))
Согласен что в целом набор опций безопасности был настроен не на высоте в вижу не такой уж большой важности этих роутеров и как обычно лени.
Удаленные логи, -интересно изучу для себя этот вопрос. Серверов куда их слать более чем навалом..

В целом спасибо за напоминание ряда набора правил, такие случаи часто напоминают о необходимости их соблюдения.... остается загадкой как туда смогли проломиться пароль там был ну астрономический не верю в брутфорс...


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

vyazikov писал(а): 20 сен 2018, 21:34 остается загадкой как туда смогли проломиться пароль там был ну астрономический не верю в брутфорс
По этому поводу я писал в пятом пункте. Раздельные акки, логирование только на ваш сервак. Можно увидеть момент, когда происходило нежелательное действо и с какого акка. Я бы не исключал злого умысла или глупой шутки кого-то из окружения, кому мог попасть в руки доступ к роутеру. Именно такой подход поможет увидеть такие штучки.
В брутфорс я тоже не верю. Есть либо взлом на версиях 6.38.* , либо "добрые люди" из ближнего окружения...
Удачи.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
anstrem
Сообщения: 11
Зарегистрирован: 30 сен 2018, 15:49

Абсолютно та же проблема вдруг посетила...

Стояли два ССR1009-8G в паре держат EOIP между офисом и хостинговой площадкой + куча разных VPN во все стороны.
Года 3 работали как часы, никто нетрогал, ессно оба белыми IP в инет стоят. От брутфорса правила настроены.
Но честно прошивку не обновляли давно (стояла RouterOS 6.36.3) и походу кто то какую то дыру раскопал что ли в ней...

Короче в один прекрасный момент один из роутеров тупо перестает пускать внутрь - не проходит учетка.
Второй работает без проблем и внутрь пускает.
Пароль символов 16 абракабры по все правилам, брутфорс даже если бы был открыт ИМХО исключается.
При этом весь функционал обоих продолжает работать, но внутрь войти невозможно.
После ребута по питанию тоже самое. После попытки reset на заводские настройки получаем труп не реагирующий ни на что, в том числе и netinstall-ом обновляться не хочет.
Честно говоря сначала подумали что железяка сдохла от слова совсем, метнулись купили новую CCR1009-7G, настроили на ней ибо очень горело.
Потом уже когда выдохнули вспомнили, что у старой есть COM порт вообще то и через него смогли завести и проапгрейдить прошивку...
Аппаратно железяка жива вообщем, а что это такое было непонятно, главное непонятно если сломали пароль, то почему не поломали никакой функционал и как ее ввели в состояние, что после reset она трупом становится и не отвечает по 192.168.88.1 и через netinstall отказывается грузиться ?


Прошло 2 дня и ... на втором конце этого туннеля на хостинге тоже самое.
Все работает, но войти в роутер не могу.
Бляха муха, это что за хрень то такая. Я конечно мудак что его сразу не проапгрейдил тоже... но не до того было просто.
На 99% уверен что если сейчас ресетнуть, то будет такой же труп.
Поэтому пока не трогаю, поеду с ноутом, шнурком для COM порта и тогда уж...

Кто то с чем то подобным сталкивался ?


anstrem
Сообщения: 11
Зарегистрирован: 30 сен 2018, 15:49

podarok66 писал(а): 21 сен 2018, 19:29 Есть либо взлом на версиях 6.38.* , либо "добрые люди" из ближнего окружения...
Опс.. я так понимаю что и на предыдущих до 6.38.* видимо есть тот же взлом и мы его "откушали", а что за влом такой где почитать можно ?
После взлома все логины VPN тунелей и учеток что были внутри можно считать скомпрометированными, все менять ?
(ближние люди в моем случае исключаются, как минимум от одной их железок логина просто нет больше ни у кого)


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

https://github.com/BigNerd95/Chimay-Red В доках почитайте


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

anstrem писал(а): 30 сен 2018, 16:04 Кто то с чем то подобным сталкивался ?
Был тут на форуме человек. У него подобная проблема была. Там в настройках Routerboard меняется пункт Boot Device и Reformat Hold Button. В итоге решалось очень долгим (порядка 5 минут) зажатием кнопки.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
anstrem
Сообщения: 11
Зарегистрирован: 30 сен 2018, 15:49

Видимо нашли цель этой "ломалки" - после прохождения трафика через роутер на всех HTTP страницах появляется вызов криптомайнера...
Походу вот это словили https://www.zdnet.com/article/mikrotik- ... -campaign/


Ответить