Добрый день! Случился инцидент, когда на роутере без вмешательства админа изменился пароль для доступа к сети Wi-Fi. Изменился ни на какой-нибудь, а на старый (прошлого месяца). Произошло это вчера-сегодня это точно! Позавчера 100%-работал пароль этого месяца. На роутере появился файл autosupout.rif датированный вчерашней датой, 7:00 утра. На форуме микротика говорится, что он появляется в случае перезагрузки роутера /system watchdog и его появление зависит от настройки automatic-supout (yes | no; default: yes), но ничего о том как провести расследование случившегося. Что содержит в себе данный файл. Помогите разобраться и узнать что произошло! И ещё сильно смущает тот факт что бэкапов конфига на роутере не хранили и не храним. Откуда он взял пароль?!!! (последняя смена пароля была сделана 25-26 сентября. Инцидент произошёл 15 октября)
Flags: A - active, R - running 0 AR name="part0" fallback-to=next version="RouterOS v6.20 Oct/01/2014 10:06:12" size=128MiB
В 14:55 зафиксирован вход под паролем этого месяца. Сейчас 2 устройства MAC-book и смартфон (android 5), которые утром пришлось залогинить паролем прошлого месяца, отказываются подключатся к сети. Ввожу пароль этого месяца - подключились! (чертовщина какая-то) Изучая пути возможного доступа и обнаружил, что у меня включен служба "самба" на всех интерфейсах, для гостя. Но гостю разрешено только чтение? Возможно получение паролей через имеющиеся файлы? см рисунок.
в логах была запись о том, что компьютер из локальной сети с IP оканчивающимся на ...51 успешно подключился к шаре под пользователем гость ( причем со второй попытки). В лизах есть запись см картинку Похоже на устройство с сетевой картой и wi-fi. (может и другие комбинации)
Наш директор довольно продвинутый пользователь. ( для того чтобы было понятно, сам может настроить роутер, переустановить ОСь и настроить сетевое подключени, пользуется командами ipconfig, ping и nslookup. Понимает разницу между vLAN и VPN) Утром директор из дома притащил СВОЙ роутер и включил его у себя в кабинете в розетку. У него ведите ли вставленный в роутер, GSM-модем подключается через раз и ему понадобилось протестить его в дали от дома. Только вот ньюанс, он не заморачивался, и созда у себя дома Wi-Fi сетку с точно таким же SID, что и в офисе, и мало того, пароль задал как в офисе. Организовал себе "бесшевный" Wi-Fi. А в конце дня подошел к нам и говорит: "Вижу вы сегодня целый день чем-то заняты были и я не хотел вас беспокоить личными просьбами, как освободитесь посмотрите почему у меня GSM-модем нестабильно работает?" А когда мы начали "смотреть" его роутер, тут всё и встало на свои места.