Взлом микротик.

Добрый день.

На нескольких устройствах устройствах нашел следы взлома.

выглядит в логах так
# sep/23/2018 9: 7:55 by RouterOS 6.43
sep/18 22:00:55 system,error,critical login failure for user dummy_user from 5.101.6.170 via api
sep/18 22:00:55 system,info,account user administrator logged in from 5.101.6.170 via api
sep/18 22:00:55 system,info socks acl entry removed by administrator
sep/18 22:00:55 system,info socks config changed by administrator
sep/18 22:00:55 system,info socks acl entry added by administrator

sep/19 07:37:39 system,error,critical login failure for user dummy_user from 5.101.6.170 via api
sep/19 07:37:39 system,info,account user administrator logged in from 5.101.6.170 via api
sep/19 07:37:47 system,info socks acl entry removed by administrator
sep/19 07:37:47 system,info socks config changed by administrator
sep/19 07:37:47 system,info socks acl entry added by administrator
sep/19 07:40:33 system,info,account user administrator logged out from 5.101.6.170 via api
sep/19 07:40:40 system,error,critical login failure for user dummy_user from 5.101.6.170 via api
sep/19 07:40:40 system,info,account user administrator logged in from 5.101.6.170 via api
sep/19 07:40:48 system,info socks acl entry removed by administrator
sep/19 07:40:48 system,info socks config changed by administrator
sep/19 07:40:48 system,info socks acl entry added by administrator

Сервисы api вроде были отключены, но это не точно.

С точки зрения конфигурации появилось несколько дополнительных настроек
# sep/23/2018 09:09:03 by RouterOS 6.43
#
# model = RouterBOARD 952Ui-5ac2nD

/ip firewall filter
add action=accept chain=forward connection-nat-state=dstnat
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=3333 protocol=tcp to-addresses=\
92.39.241.167 to-ports=3333
add action=dst-nat chain=dstnat dst-port=8888 protocol=tcp to-addresses=\
92.39.241.167 to-ports=8888
add action=dst-nat chain=dstnat dst-port=14444 protocol=tcp to-addresses=\
92.39.241.167 to-ports=4444
add action=dst-nat chain=dstnat dst-port=8008 protocol=tcp to-addresses=\
92.39.241.167 to-ports=4444
add action=dst-nat chain=dstnat dst-port=4444 protocol=tcp to-addresses=\
92.39.241.167 to-ports=4444
add action=dst-nat chain=dstnat dst-port=9999 protocol=tcp to-addresses=\
92.39.241.167 to-ports=4444
/ip service
set api port=8778
set api-ssl disabled=yes port=63000
/ip smb shares
set [ find default=yes ] directory=/pub
/ip socks
set enabled=yes max-connections=500 port=3629
/ip socks access
add action=deny src-address=!5.96.0.0/12
/system routerboard settings
set silent-boot=no


Также появился пользователь GOD с правами full.

На одном из микротиков правил нат было 170 =) Пароль пользователя не простой.

Вообщем кто-то сделал из моего микротика анонимный прокси. Это какая то бага или кривой файрвол?

 

об этом нужно писать производителю

 

Это не бага и не кривой фаервол, просто твой пароль утек до того как ты обновил прошивку, 1.Доступ с определенно ip 2.Меняем пасс 3.Меняем порты на нестондартные winbox, web и выключи сервисы которые не используеш.

 

Кстати пользователь был найден на 2-х из 3-х устройств.

 

пароли утекли.

 

Версия понятная, спасибо. Но для получения доступа надо было бы чтоб еще и учетка утекла. К слову пароли и учетки на устройствах не одинаковые

 

что за учетка??? где вы об этом написали?

 

Это то, что обычно настраивают в system->users.

а что об этом писать?

 

мы про него и говорим вот отуда пас и утек

 

Причом все узеры которые там есть необходимо пасс сменить.

 

"Нужно быть до конца последовательным в своих заблуждениях " (С).

Я вас услышал, спасибо. Можно дальше не развивать тему про утечку учетных записей с паролями.