Сегодня полез проверять маршрутизаторы Микротики (в основном RB750-е)
И на 6 из 12 в логе обнаружил такую запись постоянно повторяющуюся.

В логах много событий типа: fetch: file mikrotik.php downloaded

Полез в Инет, нашел что это возможно троян VPNFilter
в скриптах на Микортике сидел какой-то скрипт, который появился именно сегодня.
Часть правил фаервола была отключена.

Я удалил скрипт, файл mikrotik.php, сменил все пароли на вход через WinBox.
буду обновлять прошивку сегодня.
боюсь, что придется объезжать все подозрительные точки и сбрасывать Микротик до заводских настроек.

У кого-нибудь было что-то подобное?
Какие были последствия? Компы в сетке не убил он? Как боролись?

Что перво-наперво нужно сделать?

"Что перво-наперво нужно сделать?" // Написать три письма...

(1)
Я тебя понял. ))))
Но это не решение проблемы, а убегание от нее.
ЧТо, реально так все серьезно?

Главное прошивка стояла уже та, под которой , как утверждают производители Микротика, не должно быть такого.
Особых косяков в поведении сетки не обнаружил, вирусов не нашлось, сейчас проверяю все компы.
Но если кто-то разбирается в этих вещах, подскажите, что еще стоит сделать?

Тоже нашёл такую заразу.. ппц

Не стал бы покупать устройство в названии которого есть буквосочетание "rotik" или "iao"

(5)
Мальчик, не мешай.

Тут
http://sysadmins.ru/topic506279.html
тоже обсуждают эту хрень
еще в середине июля причем

НУ я в общем скрипты почистил, FW восстановил, пароли поменял..

Буду мониторить выходные на появление этого скрипта..

(8)
В общем то я те же вещи делаю. ))
Потому что очень непонятный и загадочный троян, даже вон ФБР им занялось, как пишут. ))
И чего точно нужно делать - толком непонятно.

(0) Читали ?  https://lenta.ru/news/2018/08/03/hackers/

(10)
Опа, а вот это интересно.
Спасибо за инфу!
У меня все проходящие запросы закрыты практически на всех маршрутизаторах. Ну только на два-три сайта разрешено ходить им по специфике работы.
Поэтому он эти правила фаервола и заблокировал видимо...

(11)+
хотя закрыт тока 80-й порт, а через какой порт он там майнит, неизвестно..

(11) Предполагаю это не последняя уязвимость на Микротиках

(12) снифером свой ip где Микротик висит на не доступные порты сканируй, найдешь, должен быть вещать порт.

(13)
ну это да..
человеческий фактор он всегда будет.
Ошибки в ПО.

Кстати, наша версия микротиковской ОС старее апреля, поэтому понятно..

или скинь свой ip мне на почту

если он браузер использует, то тока 80 и 443 порты должны быть.
а они у меня закрыты для всего Инета кроме пары нужных сайтов.

(16)
нее.. ))) зачем тебе мой IP?
Тем более он динамический ))))

там IP центрального микротика тока есть, который статический, но он никогда никому не показывается. ;)

(17) решать тебе))

(18)
Не, а зачем тебе мой ip?
Объясни

Вообще давно отказался от всех этих Микротиках в пользу freebsd. уже 20 лет и сбоев взломов 0.

(19) Пройдусь сканером с freebsd , на уязвимости, если есть конечно на  "IP центрального микротика"

(20)
Так на Микротике тоже какой-то клон Линукса стоит.

(21)
Я понял, но тот айпишник не может быть показан никому.

(22) я в курсе что там стоит. И что там латвийский производитель пишет одним только им известно.

(24)
Это да.
Но до вот последнего момента их оборудование считалось очень надежным и никаких косяков за шесть лет замечено не было у нас.

(25) Массовость использования порождает инсинуации взлома

Сниффером я и сам могу посмотреть куда пакеты ходят в основном.
На данный момент обновил ОС, все закрыл в фаерволе, чего не надо.
Если будет подозрительная активность, буду исследовать подробнее.

(26)
Ну так, понятно. )))
вот и до нас добрались в итоге хакеры, сцуки такие )))

(27) На freebsd на писал скрипт на подозрительную активность tcpdupmp, и забыл. шлет на почту если что то не то.

(28) Не в первый раз. в 2017 году тоже были взломы микротиков.

(30)
Нас минуло, к счастью

А может они спецом оставляют лазейки в прошивке?
скорее всего.
Мало ли для чего.
и вот некие ушлые ребята нашли их и использовали.

Ну, собственно, удивительного чуть. Роутер офигенный и при этом дешевый, плюс огромный функционал доступен скриптами. Лакомая цель...

(33)
Да, количество Микротиков перешагнуло некий критический рубеж и на него тоже стали обращать внимание злонамеренные люди. ))))

Но латыши молодцы, конечно. Практически из ничего, на остатках бывшей промышленности СССР создали вполне конкурентноспособный  маршрутизатор и целую толпу пользователей. ))

Я раньше думал, что это корейцы или китайцы. а вот на тебе - прибалтийские горячие парни. )))))

(34) Не просто конкурентоспособный. Они сделали то что никто не делал до них - циску для бедных. При этом с функционалом, который поражает воображение.

(0) ну кинул бы скриптик и пхп сюдой, мы бы посмотрели.

(36)
Да че то я не подумал, удалил его сразу от греха подальше.
Действительно, было бы полезно посмотреть и убедиться точно что он там делает.

Пока вроде все спокойно после обновления прошивки.
Поставил версию 6.40.8 mipsbe, хотя есть и посвежее.
Но эту версию описывают как именно "без дырок".

Пришлось из мартовского бакапа правда накатить настройки на некоторые аппараты, потому что слишком уж там настройки фаервола этот троян покоцал, а заново перенастраивать заняло бы кучу времени.

(38) Все правильно сделал, весной была обнаружена уязвимость благодаря которой злоумышленник мог получить доступ к устройству. Именно в версии 6.40.8(апрельская) в ветке "bugfix only" эта уязвимость исправлена: "!) winbox - fixed vulnerability that allowed to gain access to an unsecured router;"

У кого стоит версия из "current" ветки выпущенная до апреля, то они уязвимы!

У меня при обновлении слетела только одна прошивка, очень старая 6.32, обнулились некоторые значения причем с бриджом, пришлось на точку ехать.
6.38 и 6.36 обновились норм причем некоторые пришлось обновится до текущей 6.42 а потом до 6.40.8

Что забавно: уязвимость была обнаружена в ядре фряхи. То, что прибалты фряху пилят не знал только ленивый. Уязвимость закрыта в течение (внимание! выстрел!) одних суток.

Ну-ну... Рассказывайте мне про самосборные "серваки" на 386 камнях и двадцатилетних версиях фряхи.

Прибалты умнички и молодцы. Создать такую практическую конкуренцию кошкам... ну-у-у, надо уметь.

Кстати, "новость" от вчера. Уязвимость закрыта ещё весной. Делайте выводы о качестве сисадминов, узнающих "новости" от новостных помоек.

RouterOS — сетевая операционная система на базе Linux. (c)
Причем тут Free BSD???

(41)
каюсь и посыпаю голову пеплом ))
просто вот тока вчера столкнулся с этим.
а сисадмин же птица ленивая. пока не пнут, не полетит ))

я еще и сисадмин то.. так постольку поскольку )))
основное это 1С

Как хорошо что я микротик и сам не юзаю и никому не ставлю и не советую ))

Меня пока зуксель/кинетик вполне устраивают...

(45)
Это модем что ле?
))

(0) Так получается у тебя вход по WinBox был открыт извне?

(45) Да, кинетики хороши, но это не повод хаять микротик. Он заслуженно занимает свое место на рынке. Я вот выбрал микротик, потому что на тот момент, когда я выбирал что взять ничего достойного не было кроме микротика. Теперь Кинетики подошли, коллега хвалил, все хочу пощупать.
Этот спор напоминает спор какой процессор безопасней: интел или амд. А в итоге Эльбрус с байкалом пока они не опростоволосились)))))

Кстати нашел статейку про кинетики их историю: https://ammo1.livejournal.com/893681.html

Надеюсь никого не смутит, что это Россия))))