Статьи
Защита Mikrotik от взлома
Не так давно прокатилась волна взлома оборудования Mikrotik. Злоумышленники использовали уязвимость в протоколе Winbox для доступа к маршрутизаторам. В этой статье речь пойдет о том, как очистить Mikrotik, если вы стали жертвой атаки, а так же какие правила необходимо создать, что бы избежать взлома в дальнейшем.
Оборудование Mikrotik, само по себе, является превосходным инструментом для выполнения самых разных задач. К сожалению, в руках не компетентных специалистов и просто любителей, зачастую маршрутизаторы становятся частью ботнет-сети. Получив контроль над устройством, как правило, прописывались SOCKS прокси, майнинг-скрипт, правила в Firewall, а так же добавлялись скрипты в шедуллер. Разработчики оперативно исправили дыру, но многие владельцы Mikrotik не торопились обновляться, так как просто не знали о случившемся.
Но мир не без добрых людей. Пользователь портала «Хабр» под ником @LMonoceros, в свободное время искал доступные для взлома устройства и закрывал уязвимости, о чем написал статью на «Хабре», а так же дал рекомендации, как защитить свой Mikrotik.
Web-прокси и Socks
По-умолчанию прокси и socks на маршрутизаторе выключены. Если вы их не включали, а они активны, значит устройство было подвержено взлому. Первым делом необходимо выключить:
После этого откройте раздел Files в меню и проверьте наличие файла webproxy/error.html. На самом деле это не страница с выводом ошибки, а скрипт, вызывающий майнер криптовалюты. Когда он работает, вы можете наблюдать активность здесь:
Наличие Script
На взломанном оборудовании всегда будут находиться скрипты /system script. Сами по себе скрипты не опасны, они лишь скачивают другой скрипт, который и выполняется. Для скачивания используется запуск по расписанию, которое так же настроено /system sheduller. Поэтому при удалении скриптов обязательно загляните в раздел расписания.
VPN
Для создания туннеля могут быть использованы pptp и l2tp протоколы. В разделе /ppp secret могут находиться профили для подключений. Если же их там нет, проверьте /radius, так как для авторизации могут быть использованы не только логин/пароль.
Для проверки достаточно выполнить в терминале /radius print. Если вывод пустой, значит все в порядке, в противном случае необходимо выполнить очистку:
И если вы не используете VPN в повседневной жизни, просто выключите его:
DNS static
Кроме всего прочего, после атаки, можно стать не только жертвой майнинга, но и попасть под фишинг. Что бы этого не произошло, посмотрите записи DNS:
Если наблюдаете что-то похожее на это
Удалите содержимое таблицы:
И на всякий случай поменяйте пароли. Вы же не знаете, как давно злоумышленник подменил записи, возможно вы уже стали жертвой фишинга и ваши данные ушли на командные сервера.
Packet Sniffer
О использовании сниффера рассказали в «Лаборатории Касперского». Хакеры используют пакетный сниффер для перенаправления трафика на неизвестный узел. Что бы этого избежать, выполните следующие команды:
После всего выше описанного, обязательно измените пароль от оборудования и обновите до последней прошивки. Что бы избежать дальнейшего взлома, необходимо соблюсти некоторые правила. О части из них мы уже рассказывали в другой статье «Закрываем порты на Mikrotik».
Если вы подключаетесь к своему маршрутизатору только из локальной сети, тогда закройте доступ «из вне» таким правилом:
Если же доступ снаружи все же требуется, лучше всего использовать так называемый «port knoking». Работает очень просто. Отправляете ping запрос с определенны размером, который известен только вам, Mikrotik, получив такой пакет, добавит ваш ip в список разрешенных для доступа. Время разрешенного доступа вы так же можете настроить, что бы после отключения не оставалась потенциально открытая дыра в защите. Настраивается очень просто:
При этом стоит обратить внимание, что бы правило работало, при отправке ping необходимо указать размер на 28 байт меньше.
После этого запрещаем доступ ко всем портам, которые не разрешены
На этом все. Выражаем благодарность пользователю «Хабра» @LMonoceros, за его проделанную работу.