0
Отвечен

Ломились на NAS с логинами микбила!

Александр 2 года назад обновлен mikbill (CEO) 2 года назад 7

Доброго времени суток. Разработчики, такая ситуация.

Ломились на nas используя логины, которые предоставлялись сотрудникам микбилла при интеграции и других работах. Логины временные были и отключены.

Вопрос, кто то сливает логин/пароли? Или сотрудники сами пытались зайти, с какой целью?

http://joxi.ru/GrqXdyRs4N0yoA

Это не сотрудники - 100%. Еще не посмотрев фото, сразу предположил, что RouterOS. Срочно обновите прошивку. Это дыра в роутере - примерно с мая-июня месяца, она была разработчиками закрыта сразу же. Мне товарищ говорил про это - а я мимо ушей, не придал значение, у него еще и скрипты создались какие-то. После у меня с закрытым феерволом, с защитой от брутов, поднялся pptp сервер, завелась учетка примитивная 013 и пароль аналогичный. Никому ничего не давал, и было три учеткиWinBox, две для меня и третья для выполнения скриптов. На все три - в логах неудачные логины с адресов чехии и италии. Причем фишка в том, что если просто обновить софт, не сделав сброс, вирус остается и работает. Рекомендовано именно отключать от мира, сбрасывать, обновлять софт и не заливать прежний бэкап - именно такой алгоритм действий. Я для начала просто обновил, не стал сбрасывать и у меня все исправилось.. Причем попытки были в ночное время и так неохотно, по две-три.. Сейчас стоит 6-42-6 current. Советую ставить current.

http://safe.cnews.ru/news/top/2018-05-25_novyj_troyan_napal_na_routerypolmilliona_ustrojstv

https://rg.ru/2018/03/12/v-seti-obnaruzhen-opasnyj-neubivaemyj-virus.html

Да, тоже слышал.

Меня смутило что перебирались только 2 логина, которые есть на борде(выключенные) другие не трогались и только эти логины известны кому то вне компании.

current нет, теперь вместо него видимо Long-term?

http://joxi.ru/D2PYV8wSqdyg6A

long term - что что новое, лучше пробовать на тестовом стенде. я имел ввиду stable.. (current ее название в меню после установки).


Это лишний раз подтверждает что это не они, и известны лишь только логины (не пароли) остальных (т.е ваших двух сервисных), поэтому и пытается зайти. Ради интереса включите их и будут также неудачные попытки. Это бот, который знает только логины... После правильного обновления измените логины - пароли и увидите, что с новыми никто не ломится.. Или сейчас, попробуйте завести еще записи и увидите, на них пойдут подключения. Вирус передает всю инфу.  Winbox тоже новый сейчас требуется.

Ломились на прошлой неделе. Сейчас все тихо. Борд закрыт для доступа из вне.

По поводу обнов микротика. От обновы к обнове что то ломается и чиниться) такой гемор. Какую поставить 6.42.9 (Long-term), 6.43.4 (Stable), или что то из этого http://joxi.ru/L21zpRkuR6BPaA?

Борд rb 3011 arm,

комп, кстати провертье на вирусы, хотябы касперским бесплатным.. не шутка.

https://download.mikrotik.com/routeros/6.43.4/routeros-arm-6.43.4.npk - я бы поставил эту, она актуальная stable для вашей платформы arm.

Отвечен

Мы у себя логины и пароли не храним, используем только временные на время проведения работ.


Сервис поддержки клиентов работает на платформе UserEcho