Vyhledávání


Technická podpora -> WiFi / LAN -> MikroTik -> Software (MikroTik OS)

Napadený / zavirovaný Mikrotikid: 2258

M. Stepanek

(1) Jak poznám, že je Mikrotik napadený?

Většinou se nelze na Mikrotik přihlásit. Důvodem je změna uživatelských hesel, které útočník ihned po prolomení změní.

V Mikrotiku se objevují nové záznamy ve firewallu, skriptech a scheduleru. Často bývají i komentované, takže to lze alespoň snadněji dohledat.

Konkrétně v Scheduleru je vytvořen záznam, který se spouští každých 30 sekund, stáhne aktuální verzi skriptu, spustí ji a pak skript smaže. Odkazuje se na stránky:

    http :// mikr0tik.com:31416/mikr0tik?key....

    http :// min01.com:31416/min01?key=...

    http :// up0.bit:31416/up0?key=...

Jsou změněny vzdálené přístupy. Často je povolený SSH, telnet, API a další přístupy a je u nich i změněn výchozí port.

Je povolen Webproxy server a v NATu je na něj vytvořeno přesměrování.

 

(2) Jak virus odstranit?

V případě, kdy je Mikrotik napaden, je potřeba přehrát RouterOS Mikrotik přes utilitu netinstall:

https://mikrotik.com/download

https://wiki.mikrotik.com/wiki/Manual:Netinstall

Je to důležité, protože netinstall kompletně formátuje NAND paměť a to vč. skrytých sektorů, které tam mohou být a kde se může virus ukrývat.

 

(3) Jak zabránit napadení?

V prvé řadě je potřeba použít aktuální verzi RouterOS Mikrotik. 

V současnosti by to měla být verze 6.42.1 a vyšší, která již obsahuje všechny bezpečností záplaty.

V případě, kdy byl Mikrotik napaden a virus odstraněn dle dobu (2) je potřeba změnit/vytvořit nová hesla.

Je potřeba hlídat přístup na managnent Mikrotiku z internetu. To lze udělat několika způsoby:

    1. Jako nejbezpečnější se považuje mít otevřený přístup pouze přes šifrovaný tunel,
        např. OpenVPN, SSTP IPsec a pod.

    2. Mít vytvořený whitelist pro IP adresy, které smí přistupovat z internetu.

    3. Použít port knocking, tedy přístup si nejprve odemknout.
        Více informací najdete na https://wiki.mikrotik.com/wiki/Port_Knocking .

Dělat si pravidelné zálohy. To sice nepomůže přímo napadení, ale zajistí vám to rychlou obnovu do původní konfigurace.

 

(4) obnovení konfigurace

Po přehrátí Netinstallem nepoužívat funkci "keep old konfiguration" v takovém případě hrozí zvonuzanesení viru.

Pro obnovu používat pouze konfiguraci o které bezpečně víte, že neobsahuje virus. V opačném případě je lepší router znovu nastavit.

V případě zájmu je možné pomoci s nastavením či odstraněním viru v rámci technické podpory:

https://www.i4wifi.cz/Sluzby-1/Technicka-podpora-systemu-RouterOS-Mikrotik.html