Вход | Регистрация


Информационные технологии :: Администрирование

Троян VPNFilter - кто-нибудь сталкивался на маршрутизаторе? Как лечили?

Троян VPNFilter - кто-нибудь сталкивался на маршрутизаторе? Как лечили?
Я
   marvak
 
03.08.18 - 19:16
Сегодня полез проверять маршрутизаторы Микротики (в основном RB750-е)
И на 6 из 12 в логе обнаружил такую запись постоянно повторяющуюся.

В логах много событий типа: fetch: file mikrotik.php downloaded

Полез в Инет, нашел что это возможно троян VPNFilter
в скриптах на Микортике сидел какой-то скрипт, который появился именно сегодня.
Часть правил фаервола была отключена.

Я удалил скрипт, файл mikrotik.php, сменил все пароли на вход через WinBox.
буду обновлять прошивку сегодня.
боюсь, что придется объезжать все подозрительные точки и сбрасывать Микротик до заводских настроек.

У кого-нибудь было что-то подобное?
Какие были последствия? Компы в сетке не убил он? Как боролись?

Что перво-наперво нужно сделать?
 
 
   Cyberhawk
 
1 - 03.08.18 - 19:22
"Что перво-наперво нужно сделать?" // Написать три письма...
   marvak
 
2 - 03.08.18 - 19:24
(1)
Я тебя понял. ))))
Но это не решение проблемы, а убегание от нее.
ЧТо, реально так все серьезно?
   marvak
 
3 - 03.08.18 - 19:26
Главное прошивка стояла уже та, под которой , как утверждают производители Микротика, не должно быть такого.
Особых косяков в поведении сетки не обнаружил, вирусов не нашлось, сейчас проверяю все компы.
Но если кто-то разбирается в этих вещах, подскажите, что еще стоит сделать?
   CepeLLlka
 
4 - 03.08.18 - 19:43
Тоже нашёл такую заразу.. ппц
   Chang Woo
 
5 - 03.08.18 - 19:46
Не стал бы покупать устройство в названии которого есть буквосочетание "rotik" или "iao"
   marvak
 
6 - 03.08.18 - 19:47
(5)
Мальчик, не мешай.
   marvak
 
7 - 03.08.18 - 19:56
Тут
http://sysadmins.ru/topic506279.html
тоже обсуждают эту хрень
еще в середине июля причем
   CepeLLlka
 
8 - 03.08.18 - 20:10
НУ я в общем скрипты почистил, FW восстановил, пароли поменял..

Буду мониторить выходные на появление этого скрипта..
   marvak
 
9 - 03.08.18 - 20:19
(8)
В общем то я те же вещи делаю. ))
Потому что очень непонятный и загадочный троян, даже вон ФБР им занялось, как пишут. ))
И чего точно нужно делать - толком непонятно.
   sitex
 
10 - 03.08.18 - 20:35
 
 Рекламное место пустует
   marvak
 
11 - 03.08.18 - 20:45
(10)
Опа, а вот это интересно.
Спасибо за инфу!
У меня все проходящие запросы закрыты практически на всех маршрутизаторах. Ну только на два-три сайта разрешено ходить им по специфике работы.
Поэтому он эти правила фаервола и заблокировал видимо...
   marvak
 
12 - 03.08.18 - 20:47
(11)+
хотя закрыт тока 80-й порт, а через какой порт он там майнит, неизвестно..
   sitex
 
13 - 03.08.18 - 20:48
(11) Предполагаю это не последняя уязвимость на Микротиках
   sitex
 
14 - 03.08.18 - 20:49
(12) снифером свой ip где Микротик висит на не доступные порты сканируй, найдешь, должен быть вещать порт.
   marvak
 
15 - 03.08.18 - 20:50
(13)
ну это да..
человеческий фактор он всегда будет.
Ошибки в ПО.

Кстати, наша версия микротиковской ОС старее апреля, поэтому понятно..
   sitex
 
16 - 03.08.18 - 20:53
или скинь свой ip мне на почту
   marvak
 
17 - 03.08.18 - 20:56
если он браузер использует, то тока 80 и 443 порты должны быть.
а они у меня закрыты для всего Инета кроме пары нужных сайтов.

(16)
нее.. ))) зачем тебе мой IP?
Тем более он динамический ))))

там IP центрального микротика тока есть, который статический, но он никогда никому не показывается. ;)
   sitex
 
18 - 03.08.18 - 20:59
(17) решать тебе))
   marvak
 
19 - 03.08.18 - 21:00
(18)
Не, а зачем тебе мой ip?
Объясни
   sitex
 
20 - 03.08.18 - 21:01
Вообще давно отказался от всех этих Микротиках в пользу freebsd. уже 20 лет и сбоев взломов 0.
   sitex
 
21 - 03.08.18 - 21:02
(19) Пройдусь сканером с freebsd , на уязвимости, если есть конечно на  "IP центрального микротика"
   marvak
 
22 - 03.08.18 - 21:02
(20)
Так на Микротике тоже какой-то клон Линукса стоит.
   marvak
 
23 - 03.08.18 - 21:04
(21)
Я понял, но тот айпишник не может быть показан никому.
   sitex
 
24 - 03.08.18 - 21:06
(22) я в курсе что там стоит. И что там латвийский производитель пишет одним только им известно.
   marvak
 
25 - 03.08.18 - 21:09
(24)
Это да.
Но до вот последнего момента их оборудование считалось очень надежным и никаких косяков за шесть лет замечено не было у нас.
   sitex
 
26 - 03.08.18 - 21:12
(25) Массовость использования порождает инсинуации взлома
   marvak
 
27 - 03.08.18 - 21:13
Сниффером я и сам могу посмотреть куда пакеты ходят в основном.
На данный момент обновил ОС, все закрыл в фаерволе, чего не надо.
Если будет подозрительная активность, буду исследовать подробнее.
   marvak
 
28 - 03.08.18 - 21:14
(26)
Ну так, понятно. )))
вот и до нас добрались в итоге хакеры, сцуки такие )))
   sitex
 
29 - 03.08.18 - 21:15
(27) На freebsd на писал скрипт на подозрительную активность tcpdupmp, и забыл. шлет на почту если что то не то.
   sitex
 
30 - 03.08.18 - 21:16
(28) Не в первый раз. в 2017 году тоже были взломы микротиков.
   marvak
 
31 - 03.08.18 - 21:24
(30)
Нас минуло, к счастью
   marvak
 
32 - 03.08.18 - 21:41
А может они спецом оставляют лазейки в прошивке?
скорее всего.
Мало ли для чего.
и вот некие ушлые ребята нашли их и использовали.
   spectre1978
 
33 - 03.08.18 - 21:42
Ну, собственно, удивительного чуть. Роутер офигенный и при этом дешевый, плюс огромный функционал доступен скриптами. Лакомая цель...
 
 
   marvak
 
34 - 03.08.18 - 21:54
(33)
Да, количество Микротиков перешагнуло некий критический рубеж и на него тоже стали обращать внимание злонамеренные люди. ))))

Но латыши молодцы, конечно. Практически из ничего, на остатках бывшей промышленности СССР создали вполне конкурентноспособный  маршрутизатор и целую толпу пользователей. ))

Я раньше думал, что это корейцы или китайцы. а вот на тебе - прибалтийские горячие парни. )))))
   spectre1978
 
35 - 04.08.18 - 08:49
(34) Не просто конкурентоспособный. Они сделали то что никто не делал до них - циску для бедных. При этом с функционалом, который поражает воображение.
   DES
 
36 - 04.08.18 - 09:11
(0) ну кинул бы скриптик и пхп сюдой, мы бы посмотрели.
   marvak
 
37 - 04.08.18 - 17:20
(36)
Да че то я не подумал, удалил его сразу от греха подальше.
Действительно, было бы полезно посмотреть и убедиться точно что он там делает.
   marvak
 
38 - 04.08.18 - 17:24
Пока вроде все спокойно после обновления прошивки.
Поставил версию 6.40.8 mipsbe, хотя есть и посвежее.
Но эту версию описывают как именно "без дырок".

Пришлось из мартовского бакапа правда накатить настройки на некоторые аппараты, потому что слишком уж там настройки фаервола этот троян покоцал, а заново перенастраивать заняло бы кучу времени.
   naehi8sh
 
39 - 04.08.18 - 18:06
(38) Все правильно сделал, весной была обнаружена уязвимость благодаря которой злоумышленник мог получить доступ к устройству. Именно в версии 6.40.8(апрельская) в ветке "bugfix only" эта уязвимость исправлена: "!) winbox - fixed vulnerability that allowed to gain access to an unsecured router;"

У кого стоит версия из "current" ветки выпущенная до апреля, то они уязвимы!

У меня при обновлении слетела только одна прошивка, очень старая 6.32, обнулились некоторые значения причем с бриджом, пришлось на точку ехать.
6.38 и 6.36 обновились норм причем некоторые пришлось обновится до текущей 6.42 а потом до 6.40.8
   Шурик после Казани
 
40 - 04.08.18 - 19:43
Что забавно: уязвимость была обнаружена в ядре фряхи. То, что прибалты фряху пилят не знал только ленивый. Уязвимость закрыта в течение (внимание! выстрел!) одних суток.

Ну-ну... Рассказывайте мне про самосборные "серваки" на 386 камнях и двадцатилетних версиях фряхи.

Прибалты умнички и молодцы. Создать такую практическую конкуренцию кошкам... ну-у-у, надо уметь.
   Шурик после Казани
 
41 - 04.08.18 - 19:45
Кстати, "новость" от вчера. Уязвимость закрыта ещё весной. Делайте выводы о качестве сисадминов, узнающих "новости" от новостных помоек.
   AppleJack
 
42 - 04.08.18 - 19:52
RouterOS — сетевая операционная система на базе Linux. (c)
Причем тут Free BSD???
   marvak
 
43 - 04.08.18 - 22:25
(41)
каюсь и посыпаю голову пеплом ))
просто вот тока вчера столкнулся с этим.
а сисадмин же птица ленивая. пока не пнут, не полетит ))
   marvak
 
44 - 04.08.18 - 22:27
я еще и сисадмин то.. так постольку поскольку )))
основное это 1С
   Garykom
 
45 - 04.08.18 - 23:00
Как хорошо что я микротик и сам не юзаю и никому не ставлю и не советую ))

Меня пока зуксель/кинетик вполне устраивают...
   marvak
 
46 - 05.08.18 - 00:23
(45)
Это модем что ле?
))
   oslokot
 
47 - 05.08.18 - 09:48
(0) Так получается у тебя вход по WinBox был открыт извне?
   naehi8sh
 
48 - 05.08.18 - 15:00
(45) Да, кинетики хороши, но это не повод хаять микротик. Он заслуженно занимает свое место на рынке. Я вот выбрал микротик, потому что на тот момент, когда я выбирал что взять ничего достойного не было кроме микротика. Теперь Кинетики подошли, коллега хвалил, все хочу пощупать.
Этот спор напоминает спор какой процессор безопасней: интел или амд. А в итоге Эльбрус с байкалом пока они не опростоволосились)))))

Кстати нашел статейку про кинетики их историю: https://ammo1.livejournal.com/893681.html

Надеюсь никого не смутит, что это Россия))))


Список тем форума
Рекламное место пустует  Рекламное место пустует
ВНИМАНИЕ! Если вы потеряли окно ввода сообщения, нажмите Ctrl-F5 или Ctrl-R или кнопку "Обновить" в браузере.
Рекламное место пустует