ola a todos,
hoje foi identificado na nossa rede algum ataque a radios da intelbras que alteram o servidor de dns principal, os radios que os tecnicos "FDP" deixaram senha default
O DNS é alterado pro endereço: 209.217.227.114
o unico sintoma disso é que os clientes com dns alterado, quando tentam navegar por algumas paginas são solicitados a instalação do flash player... mesmo aqueles que possuem o flash player atualizado.
recomendação:
Dropar todo o trafego de origem e destino a esse endereço
Código :/ip firewall filter add action=drop chain=forward src-address=209.217.227.114 add action=drop chain=forward dst-address=209.217.227.114
e descobrir os usuários infectados
Código :/ip firewall filter add action=add-src-to-address-list address-list=Infectado_DNS chain=forward dst-address=209.217.227.114
posteriormente acessar e corrigir as configurações dos radios.