Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Não bastasse ubnt com virus Mikrotik também? Será?

    Boa tarde a todos,
    Olha nas ultimas semanas não tenho feito nada além de correr atrás do rabo apagando cpe por cpe o virus da ubnt manualmente, porque manual? Tenho visto vários relatos dos provedores que tiveram centenas de cpes resetadas, aqui a coisa foi bem diferente e no meu ver pior. Tivemos muitas cpes sem acesso, ou seja além de infectadas mudaram os dados de acesso, com isso não consigo acessar remotamente o equipamento para fazer o procedimento de limpeza, dai o motivo cruel de ter de ir em cliente por cliente. Isso de fato tem nos matado aqui....
    Tenho aqui um servidor dns rodando, e nele que estou acompanhando os equipamentos infectados, pois em meu caso aqui eles ficam atacando o server dns gerando inumeras requisições e com isso derrubando o dns. Rodo o comando tcpdump para monitorar.
    Até ai tudo bem, só que mesmo com o estágio de limpeza bem adiantado a lista tem diminuido pouco, ai analisando os ips percebi que na lista consta ips de clientes com sxt da Mikrotik, acessei o equipamento fiz a atualização e para minha surpressa apareceu a imagem que vou tentar por em anexo... Ai pergunto, será que esse virus contamina também mikrotik? Alguém pegou em mikrotik também, se sim qual o processo de remoção?
    Olha adicionei a imagem, como não sei se irá aparecer corretamente a imagem, segue o descritivo que achei quando abri o new terminal da sxt: DEFAULT ADMIN ACCOUNT HAD NO PASSWORD AND DEVICE WAS HACKED! Account au...
    Detalhe que ele fala não ter senha admin diferente da padrão, essa device nçao estava com senha default.
    Miniaturas de Anexos Miniaturas de Anexos Clique na imagem para uma versão maior

Nome:	         SXT RACKED.png
Visualizações:	482
Tamanho: 	84,2 KB
ID:      	64034  

  2. #2

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Mas consegue acessar o aparelho né, com qual usuário ?



  3. #3

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    No caso da sxt que citei consigo acessar normal, até atualizei ela, só que como falei acima. Quando acessei i new terminal apareceu essa mesnsagem, ai queria saber se se fato a sxt também foi contaminada.
    Com relação aos ubnts, esse foi trocado os dados de acesso, não consegui de jeito maneira entrar, nem com o tal usuario mother e senha fucker.
    A pergunta é a seguinte: Será que infectou os mikrotiks também? segundo a imagem parece que sim. Ai como fazer pra desinfetar mikrotik?

  4. #4

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Citação Postado originalmente por ab5x2 Ver Post
    Meio duvidoso isso ocorrer, o RouterOS é totalmente fechado para que se torne possível a intrusão de algum vírus.
    Campeão então como me explica a imagem? acha que montei é isso? Fiquei tão surpreso quanto você, estou atrás de saber uma explicação para isso...



  5. #5

    Padrão

    Citação Postado originalmente por ab5x2 Ver Post
    Meio duvidoso isso ocorrer, o RouterOS é totalmente fechado para que se torne possível a intrusão de algum vírus.

    Complicado afirmar isso, pois ubnt e mikrotik é base linux.

  6. #6

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Em fim, minha ideia e acredito de ninguém no forum e tumultuar e sim entender, pois é fato que nos últimos dias várias Empresa sofreram com isso. Esperar realmente alguém que possa contribuir com todos informando se teve algo parecido. Minha dúvida é saber se de fato está ou não infectada a sxt.
    Estranho que mesmo após a atualização, se eu entrar no new terminal tá lá a mensagem....De qualquer forma, agradeço a contribuição ao post.



  7. #7

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    No caso do seu Mikrotik talvez não tenha sido um vírus como o do UBNT, mas sim um ataque pontual. Talvez alguém scaneando IPs na internet e verificando as portas abertas, procurando por protocolos desatualizados com falhas de segurança.

    Esse equipamento estava exposto a internet com IP válido? Quais portas estavam abertas?

    Abraços

  8. #8

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Impressão minha ou pediu para acontecer?
    Default admin ??
    Me ajuda ai neh



  9. #9

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Já vi em vários mk ( nao so MK, qualquer equipamento com ip valido, basta olhar log que alguma vez deve ter ocorrido), tentativas de acessos, portas padrao, e users padrao, ips de diversos lugares do mundo, agora vai ai do seu gerenciamento permitir ou nao o acesso hehehe. Alterar portas, senhas fortes, entre outros técnicas.
    Se acessaram sua mk, confere se nao add nenhum script a ela.
    E isso não se compara ao vírus que infectou as ubnts, pois ela não esta copiada na sua rb e replicando na rede, ta só com cara de invasão por falta de cuidado mesmo.

  10. #10

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Porque essa mensagem apareceu não sei, mas se quiser retirar só alterar o diretório system/note

    http://wiki.mikrotik.com/wiki/Manual:System/Note



  11. #11

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    provavelmente ele deixou o MK com ip publico, sem senha no usuário ADMIN. ai a pessoa entrou no seu equipamento, e simplesmente deixou essa mensagem para te alertar.

  12. #12

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Newbie over 9000



  13. #13

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    E ainda que tenha modificado a senha do admin, aquela lista GIGANTE de ataques que MK recebem (Geralmente de IP's Chineses) quando tem IP público me diz que eles ficam tentando ataque por dicionário.
    Vai tentando
    admin:admin
    admin:nimda
    admin:root
    admin:toor
    admin:adminadmin
    admin:123456

    Olha o projeto completo:
    http://mkbrutusproject.github.io/MKBRUTUS/

    O modo de evitar isso é usar senha complexa, nome de usuário complexo, remover o admin, e fazer isso:
    http://wiki.mikrotik.com/wiki/Brutef...gin_prevention

    (Usem l33t nas senhas, qualquer nome longo em leet já atrapalha anos o brute force, o João da Silva escreveria J040_d4_S1lv4, já inviabiliza completamente o ataque por dicionário, e se criar um leet próprio, colocando digamos $ por S, ou £ por l, complica ainda mais, um brute force exigiria todos os caracteres do teclado, fora os regionais (§ e ç são mais comuns no brasil, £ e € na europa, mas vai que você tem um teclado de outro país, talvez um teclado do Paraguai com um ¿))

    Dia que tiver como roubaro hash, e fazer o teste senha por senha localmente, aí MK vai estar lascado, mas hoje só o que é possível, fora trojan's e backdoors, é ataque por força bruta ou dicionário, 2 ataques super simples de barrar.

  14. #14

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Ou acessa o mikrotik apenas por rede interna bloqueando o acesso externo na porta 8291.
    Ou muda esta porta, e se não usa ssh e telnet desativa na aba IP/Services
    Última edição por marcelorodrigues; 31-05-2016 às 14:16.



  15. #15

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Olá!
    Amigo, também estou com o mesmo problema.
    Segue imagem abaixo, alguém pode ajudar a resolver isso?

    Clique na imagem para uma versão maior

Nome:	         Capturar.JPG
Visualizações:	26
Tamanho: 	31,5 KB
ID:      	68345

  16. #16

    Padrão

    Citação Postado originalmente por Teixeira30 Ver Post
    Olá!
    Amigo, também estou com o mesmo problema.
    Segue imagem abaixo, alguém pode ajudar a resolver isso?

    Clique na imagem para uma versão maior

Nome:	         Capturar.JPG
Visualizações:	26
Tamanho: 	31,5 KB
ID:      	68345
    reset e atualize para utlima versão



  17. #17

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Boa tarde!
    Amigos, estava procurando em outro forum e conseguir resolver, vou deixar um tutorial aqui.

    1. Para quem está ou estava com esse problema como eu, resolvi da seguinte forma.

    2. Criar um arquivo com nome: sys-note.txt, caso não tenha ainda.
    3. Depois edita conforme desejar.

    Clique na imagem para uma versão maior

Nome:	         Capturar.JPG
Visualizações:	17
Tamanho: 	53,3 KB
ID:      	68347Clique na imagem para uma versão maior

Nome:	         Capturar1.JPG
Visualizações:	18
Tamanho: 	28,3 KB
ID:      	68348

  18. #18

    Padrão Re: Não bastasse ubnt com virus Mikrotik também? Será?

    Sorte sua que a pessoa so invadiu e te avisou que sua senha não era segura.
    Pessoal, vamos usar um pouco mais de segurança, ficam usando senha básicas ai depois ficam reclamando
    Citação Postado originalmente por Teixeira30 Ver Post
    Olá!
    Amigo, também estou com o mesmo problema.
    Segue imagem abaixo, alguém pode ajudar a resolver isso?

    Clique na imagem para uma versão maior

Nome:	         Capturar.JPG
Visualizações:	26
Tamanho: 	31,5 KB
ID:      	68345