Статьи


28.09.2018

Защита Mikrotik от взлома

Не так давно прокатилась волна взлома оборудования Mikrotik. Злоумышленники использовали уязвимость в протоколе Winbox для доступа к маршрутизаторам. В этой статье речь пойдет о том, как очистить Mikrotik, если вы стали жертвой атаки, а так же какие правила необходимо создать, что бы избежать взлома в дальнейшем.

Оборудование Mikrotik, само по себе, является превосходным инструментом для выполнения самых разных задач. К сожалению, в руках не компетентных специалистов и просто любителей, зачастую маршрутизаторы становятся частью ботнет-сети. Получив контроль над устройством, как правило, прописывались SOCKS прокси, майнинг-скрипт, правила в Firewall, а так же добавлялись скрипты в шедуллер. Разработчики оперативно исправили дыру, но многие владельцы Mikrotik не торопились обновляться, так как просто не знали о случившемся.

Но мир не без добрых людей. Пользователь портала «Хабр» под ником @LMonoceros, в свободное время искал доступные для взлома устройства и закрывал уязвимости, о чем написал статью на «Хабре», а так же дал рекомендации, как защитить свой Mikrotik.

Web-прокси и Socks

По-умолчанию прокси и socks на маршрутизаторе выключены. Если вы их не включали, а они активны, значит устройство было подвержено взлому. Первым делом необходимо выключить:

/ip proxy set enabled=no
/ip socks set enabled=no

После этого откройте раздел Files в меню и проверьте наличие файла webproxy/error.html. На самом деле это не страница с выводом ошибки, а скрипт, вызывающий майнер криптовалюты. Когда он работает, вы можете наблюдать активность здесь:

/ip proxy access print
/ip socks access print

Наличие Script

На взломанном оборудовании всегда будут находиться скрипты /system script. Сами по себе скрипты не опасны, они лишь скачивают другой скрипт, который и выполняется. Для скачивания используется запуск по расписанию, которое так же настроено /system sheduller. Поэтому при удалении скриптов обязательно загляните в раздел расписания.

VPN

Для создания туннеля могут быть использованы pptp и l2tp протоколы. В разделе /ppp secret могут находиться профили для подключений. Если же их там нет, проверьте /radius, так как для авторизации могут быть использованы не только логин/пароль.

Для проверки достаточно выполнить в терминале /radius print. Если вывод пустой, значит все в порядке, в противном случае необходимо выполнить очистку:

/radius remove numbers=[/radius find ]
/ppp aaa set use-radius=no use-circuit-id-in-nas-port-id=no
/user aaa set use-radius=no

И если вы не используете VPN в повседневной жизни, просто выключите его:

/interface l2tp-server server set enabled=no
/interface pptp-server server set enabled=no
/interface sstp-server server set enabled=no

DNS static

Кроме всего прочего, после атаки, можно стать не только жертвой майнинга, но и попасть под фишинг. Что бы этого не произошло, посмотрите записи DNS:

/ip dns static

Если наблюдаете что-то похожее на это

Защита Mikrotik от взлома

Удалите содержимое таблицы:

/ip dns static remove numbers=[/ip dns static find]

И на всякий случай поменяйте пароли. Вы же не знаете, как давно злоумышленник подменил записи, возможно вы уже стали жертвой фишинга и ваши данные ушли на командные сервера.

Packet Sniffer

О использовании сниффера рассказали в «Лаборатории Касперского». Хакеры используют пакетный сниффер для перенаправления трафика на неизвестный узел. Что бы этого избежать, выполните следующие команды:

/tool sniffer stop
/tool sniffer set streaming-enabled=no filter-ip-protocol="" filter-port="" filter-interface="" filter-stream=no

После всего выше описанного, обязательно измените пароль от оборудования и обновите до последней прошивки. Что бы избежать дальнейшего взлома, необходимо соблюсти некоторые правила. О части из них мы уже рассказывали в другой статье «Закрываем порты на Mikrotik».

Если вы подключаетесь к своему маршрутизатору только из локальной сети, тогда закройте доступ «из вне» таким правилом:

/ip firewall address-list add address=192.168.1.0/24 list=allow-ip
/ip firewall address-list add address=192.168.88.10/32 list=allow-ip
/ip firewall filter add action=accept chain=input comment="Allow Address List" src-address-list=allow-ip

Если же доступ снаружи все же требуется, лучше всего использовать так называемый «port knoking». Работает очень просто. Отправляете ping запрос с определенны размером, который известен только вам, Mikrotik, получив такой пакет, добавит ваш ip в список разрешенных для доступа. Время разрешенного доступа вы так же можете настроить, что бы после отключения не оставалась потенциально открытая дыра в защите. Настраивается очень просто:

/ip firewall filter add action=add-src-to-address-list address-list=allow-ip address-list-timeout=1h chain=input packet-size=783 protocol=icmp

При этом стоит обратить внимание, что бы правило работало, при отправке ping необходимо указать размер на 28 байт меньше.

ping -l 755

После этого запрещаем доступ ко всем портам, которые не разрешены

/ip firewall filter add action=drop chain=input

На этом все. Выражаем благодарность пользователю «Хабра» @LMonoceros, за его проделанную работу.

Защита Mikrotik от взлома

Не так давно прокатилась волна взлома оборудования Mikrotik. Злоумышленники использовали уязвимость в протоколе Winbox для доступа к маршрутизаторам. В этой статье речь пойдет о том, как очистить Mikrotik, если вы стали жертвой атаки, а так же какие правила необходимо создать, что бы избежать взлома в дальнейшем.