Napadený / zavirovaný Mikrotik

(1) Jak poznám, že je Mikrotik napadený?

Většinou se nelze na Mikrotik přihlásit. Důvodem je změna uživatelských hesel, které útočník ihned po prolomení změní.

V Mikrotiku se objevují nové záznamy ve firewallu, skriptech a scheduleru. Často bývají i komentované, takže to lze alespoň snadněji dohledat.

Konkrétně v Scheduleru je vytvořen záznam, který se spouští každých 30 sekund, stáhne aktuální verzi skriptu, spustí ji a pak skript smaže. Odkazuje se na stránky:

    http :// mikr0tik.com:31416/mikr0tik?key....

    http :// min01.com:31416/min01?key=...

    http :// up0.bit:31416/up0?key=...

Jsou změněny vzdálené přístupy. Často je povolený SSH, telnet, API a další přístupy a je u nich i změněn výchozí port.

Je povolen Webproxy server a v NATu je na něj vytvořeno přesměrování.

 

(2) Jak virus odstranit?

V případě, kdy je Mikrotik napaden, je potřeba přehrát RouterOS Mikrotik přes utilitu netinstall:

https://mikrotik.com/download

https://wiki.mikrotik.com/wiki/Manual:Netinstall

Je to důležité, protože netinstall kompletně formátuje NAND paměť a to vč. skrytých sektorů, které tam mohou být a kde se může virus ukrývat.

 

(3) Jak zabránit napadení?

V prvé řadě je potřeba použít aktuální verzi RouterOS Mikrotik. 

V současnosti by to měla být verze 6.42.1 a vyšší, která již obsahuje všechny bezpečností záplaty.

V případě, kdy byl Mikrotik napaden a virus odstraněn dle dobu (2) je potřeba změnit/vytvořit nová hesla.

Je potřeba hlídat přístup na managnent Mikrotiku z internetu. To lze udělat několika způsoby:

    1. Jako nejbezpečnější se považuje mít otevřený přístup pouze přes šifrovaný tunel,
        např. OpenVPN, SSTP IPsec a pod.

    2. Mít vytvořený whitelist pro IP adresy, které smí přistupovat z internetu.

    3. Použít port knocking, tedy přístup si nejprve odemknout.
        Více informací najdete na https://wiki.mikrotik.com/wiki/Port_Knocking .

Dělat si pravidelné zálohy. To sice nepomůže přímo napadení, ale zajistí vám to rychlou obnovu do původní konfigurace.

 

(4) obnovení konfigurace

Po přehrátí Netinstallem nepoužívat funkci "keep old konfiguration" v takovém případě hrozí zvonuzanesení viru.

Pro obnovu používat pouze konfiguraci o které bezpečně víte, že neobsahuje virus. V opačném případě je lepší router znovu nastavit.

V případě zájmu je možné pomoci s nastavením či odstraněním viru v rámci technické podpory:

https://www.i4wifi.cz/Sluzby-1/Technicka-podpora-systemu-RouterOS-Mikrotik.html

 

 

 

 

 

(0 votes)
This article was helpful
This article was not helpful

Comments (0)
Post a new comment
 
 
Full Name:
Email:
Comments:
CAPTCHA Verification 
 
Please enter the text you see in the image into the textbox below. This is required to prevent automated registrations and form submissions.

Help Desk Software by Kayako Case
ERROR: This domain name does not match domain registered in the license key file (apache5.gwl.eu), allowed domains: 127.0.0.1,192.168.5.36,support.i4wifi.cz,support.gwl.eu,kayako.gwl.eu, please change the product path to match the domain under Admin CP > Settings > General Settings
This product will not work properly unless untill that value is changed.

For more information please contact Kayako support at https://my.kayako.com