почему появился файл autosupout.rif?

Тема в разделе "Вопросы начинающих", создана пользователем Пашастый, 15 окт 2015.

  1. Пашастый

    Пашастый Новый участник

    Добрый день!
    Случился инцидент, когда на роутере без вмешательства админа изменился пароль для доступа к сети Wi-Fi. Изменился ни на какой-нибудь, а на старый (прошлого месяца).
    Произошло это вчера-сегодня это точно! Позавчера 100%-работал пароль этого месяца.
    На роутере появился файл autosupout.rif датированный вчерашней датой, 7:00 утра. На форуме микротика говорится, что он появляется в случае перезагрузки роутера /system watchdog и его появление зависит от настройки automatic-supout (yes | no; default: yes), но ничего о том как провести расследование случившегося. Что содержит в себе данный файл. Помогите разобраться и узнать что произошло!

    И ещё сильно смущает тот факт что бэкапов конфига на роутере не хранили и не храним. Откуда он взял пароль?!!!

    (последняя смена пароля была сделана 25-26 сентября. Инцидент произошёл 15 октября)
     
  2. vasilevkirill

    vasilevkirill Участник

    если вы уверенны, что кроме как вас поменять пароль некому, то покажите /partitions print detail
     
  3. Пашастый

    Пашастый Новый участник

    Flags: A - active, R - running
    0 AR name="part0" fallback-to=next version="RouterOS v6.20 Oct/01/2014 10:06:12"
    size=128MiB
     
  4. Пашастый

    Пашастый Новый участник

    В 14:55 зафиксирован вход под паролем этого месяца. Сейчас 2 устройства MAC-book и смартфон (android 5), которые утром пришлось залогинить паролем прошлого месяца, отказываются подключатся к сети. Ввожу пароль этого месяца - подключились! (чертовщина какая-то)
    Изучая пути возможного доступа и обнаружил, что у меня включен служба "самба" на всех интерфейсах, для гостя. Но гостю разрешено только чтение? Возможно получение паролей через имеющиеся файлы? см рисунок.
     

    Вложения:

  5. vasilevkirill

    vasilevkirill Участник

    а вы случайно не access list используете для авторизации в wifi?
     
  6. Пашастый

    Пашастый Новый участник

    Нет. Пароль прописан в Security Profile.
     
  7. Пашастый

    Пашастый Новый участник

    в логах была запись о том, что компьютер из локальной сети с IP оканчивающимся на ...51 успешно подключился к шаре под пользователем гость ( причем со второй попытки).
    В лизах есть запись см картинку

    Похоже на устройство с сетевой картой и wi-fi. (может и другие комбинации)
     

    Вложения:

  8. Пашастый

    Пашастый Новый участник

    Всё нашел причину... завтра отпишусь.
     
  9. Пашастый

    Пашастый Новый участник

    Наш директор довольно продвинутый пользователь. ( для того чтобы было понятно, сам может настроить роутер, переустановить ОСь и настроить сетевое подключени, пользуется командами ipconfig, ping и nslookup. Понимает разницу между vLAN и VPN) Утром директор из дома притащил СВОЙ роутер и включил его у себя в кабинете в розетку. У него ведите ли вставленный в роутер, GSM-модем подключается через раз и ему понадобилось протестить его в дали от дома. Только вот ньюанс, он не заморачивался, и созда у себя дома Wi-Fi сетку с точно таким же SID, что и в офисе, и мало того, пароль задал как в офисе. Организовал себе "бесшевный" Wi-Fi. А в конце дня подошел к нам и говорит: "Вижу вы сегодня целый день чем-то заняты были и я не хотел вас беспокоить личными просьбами, как освободитесь посмотрите почему у меня GSM-модем нестабильно работает?" А когда мы начали "смотреть" его роутер, тут всё и встало на свои места.