Top.Mail.Ru

Насколько реален взлом роутеров Mikrotik

Прошло немного времени, когда прокатился пик взлома роутеров Mikrotik, который обнажил очевидные уязвимости. Пик прошел, но проблема осталась. Да, компания Микротик, «зашила» дыры в своем оборудовании, ограничив взлом своего оборудования. Но то тут, то там обнаруживаются новые случаи. Из этого следует одно, что где-то кто-то использует старое оборудование, которое не обновлялось.

Для тех кто не знаком с компанией Mikrotik — это латвийская компания производящая сетевое оборудование. Помимо самого оборудования, компания поставляет его вместе с собственной встроенной операционной системой. Оборудование — RouterBoard, операционная система к нему — RouterOS. Но в совокупности, в народе все принято называть в честь самой компании — Mikrotic.

Эти роутеры занимают средний сегмент. Это и не профессиональное, но уже и не домашнее оборудование. От домашнего они отличаются более большей функциональностью. Но до мощного профессионального оборудования им еще далеко. Поэтому их клиенты — это в основном представители малого и среднего бизнеса.

В целом качество оборудования Микротик держится на высоком уровне. Однако, интернет не без «добрых» пользователей. Нашлись люди, которые обнаружили уязвимости продуктов Mikrotik и именно они инициировали пик массовых взломов роутеров. Популярными способами, которыми характеризуется взлом Mikrotik являются:

• прописывать Socks-прокси;

• устанавливать чужой script для майнинга криптовалюты;

• устанавливать правила в Файрволл;

• устанавливать различные скрипты, влияющие на работу и безопасность использования оборудования;

• воровать ваши логины и пароли;

• перезагружать ваше устройство;

• вывести на его экран(если он есть) какое-нибудь сообщение;

• заставить ваш роутер заиграть простую мелодию;

• и др.

​Взлом Mikrotik, на что обратить внимание

Как мы писали выше есть несколько более-менее популярных моделей поведения, чтобы осуществить взлом Микротик. Ниже мы приведем список самых популярных, на что следует обращать внимание, чтобы понять и оградить себя от хакерской атаки через уязвимости оборудования Mikrotik.

​Socks-прокси

При первоначальной монтаже и настройке оборудования, на вашем “модеме” Socks-прокси должны быть отключены. Поэтому имеет смысл проследить за их состоянием сейчас. Когда они включены, а вы этого не делали, значит скорее всего вы подверглись взлому Чтобы отключить proxy и socks у вас должно быть прописано следующее:

/ip proxy set enabled=no

/ip socks set enabled=no

После того, как это все проделали зайдите в Меню и проверьте есть ли у вас следующий файлик: webproxy/error.html . Это не файл, где выводятся ошибки, как может сразу показаться. Это script, который может вызвать криптовалютный майнер. Посмотреть активен ли он можно здесь:

/ip proxy access print

/ip socks access print

​Наличие лишних скриптов

Как правило, любое оборудование Mikrotik, к которому был применен взлом может содержать сторонние скрипты. Они находятся в папке /system/script. В целом наличие сторонних скриптов не опасно. Суть их работы заключается в другом — они вызывают или «закачивать» другие скрипты, которые в свою очередь могут выполняться и приносить вред. Поэтому их можно удалить.

​VPN

Есть два протокола, которые применяются при создании туннеля :

pptp;

l2pt.

Поэтому в первую очередь проверьте раздел /ррр secret, там может быть обнаружен профиль для подключения. Если там пусто — то уже хорошо. Тогда нужно проверить еще /radius, потому что в принципе для авторизации не всегда может применяться связка Login/Password.

Поэтому перейдите в терминал роутера и попробуйте там вписать : /radius print. Если и тут пусто, тогда с VPN все в порядке. Если тут не пусто, тогда нужно все почистить следующей командой:

/radius remove numbers=[/radius find ]

/ppp aaa set use-radius=no use-circuit-id-in-nas-port-id=no

/user aaa set use-radius=no

Возможно вы вообще не используете VPN. Тогда его можно просто отключить, чтобы обезопасить себя от взлома своего оборудования Микротик. Чтобы отключить, нужно прописать следующее:

/interface l2tp-server server set enabled=no

/interface pptp-server server set enabled=no

/interface sstp-server server set enabled=no

​Статические DNS

Допустим вас не атаковали для майнинга, но вы могли подвергнуться атаки для фишинга. Проверить это можно, если просмотреть статические DNS, чтобы это сделать введите:

/ip dns static

Вам откроется таблица с записями DNS. Если вы видите что-то похожее на :

daggerhashimoto.in.nicehash.com

daggerhashimoto.hk.nicehash.com

daggerhashimoto.jp.nicehash.com

В обще если увидите, то что сильно отличается от остальных записей, то просто удалите содержимое таблицы. И не забудьте поменять пароль, потому что возможно при подмене записей DNS ваши данные уже «ушли» на сервера злоумышленника.

Возможно вам будет интересно почитать о “ТОП-500 суперкомпьютеров в мире”

Это конечно не все уязвимости оборудования Mikrotik, потому что технология взлома тоже усовершенствуется. Но чтобы избежать такие инциденты, возьмите себе за правило своевременно применять обновления от Микротик. Как правило они сами выпускают прошивки своей ОС, которые вовремя устраняют уязвимости. Если все делать вовремя, то взлом вашего Mikrotik будет невозможен.

Поделись статьей с друзьями!

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *