como isso apareceu, alguem consegue explicar e colaborar na prevenção

[mandrak66]

Boa noite/dia/tarde a todos!!!
espero que todo estejam bem...

Tenho algumas RBs em vários clientes, configuradas para roteamento, VPNs, entre outras necessidades empresariais.

de dias pra cá, venho tendo varias reclamações referente navegação e lentidão.

fui vasculhar e encontrei umas configurações estranhas em system script, system scheduler, em ip socks estava habilitado e o access estava com mais de 3000 regras totalmente desconhecidas, os rules de logging estavam todos desabilitados, e tinha também milhares de ips registrados em ip DNS static, até salvei uma imagem que segue em anexo.

bom, voces podem até falar que usaram minha senha para fazer tal proeza, mas acredito que não foi isso, na via da duvida já troquei todas, aproveitei tbm para dar um up nas versões que estavam desatualizadas.

e no desespero reconfigurei uma a uma novamente, mas acreditem, eu não gostaria de passar por isso novamente.

se alguém mais passou por isso e puder dar uma força pra engradecer nossos conhecimentos, seria de grande valia pra Comunidade eu acredito!!!

[darkih]

Isso é um dos vírus que saiu recentemente. Atualizar resolve o problema por enquanto, mas podem vir a encontrar outra vulnerabilidade.
O mais seguro é criar uma regra que derrube tudo que não for da sua própria rede com destino a RB.
Aqui depois que fiz essa regra, não tive mais esses problemas.

[mandrak66]

Darkih, grato pela colaboração em responder.

poderia me passar um exemplo desta regra.

abs

[darkih]

Primeiro eu crio um Address List com o nome "Rede" e crio algumas redes que serão as que terão acesso ao equipamento, aqui utilizo ip inválido, deixo 10.0.0.0/8 e 192.168.0.0/16 pois são as redes que uso. Você precisaria adicionar as redes que você utiliza e quer que tenham acesso a RB.

/ip firewall address-list
add address=10.0.0.0/8 list=Rede
add address=192.168.0.0/16 list=Rede


Aí vem a regra que dropa tudo que não for dessas redes
/ip firewall filter
add action=drop chain=input comment="Bloqueia DNS recursivo" dst-port=53 in-interface=WAN protocol=udp
add action=drop chain=input comment="Drop Src-Address-List= !Rede" src-address-list=!Rede



Recomendo que primeiro faça um teste em bancada para que não pare nenhum cliente em produção.
Outra coisa que recomendo é que desative todos os serviços que você não vá utilizar. Aqui deixo ativo apenas o Winbox, e todo o restante deixo desativado.

Lembrando que nenhum método é 100%, mas aqui depois que fiz essas regras não tive mais problemas com invasão.

[mandrak66]

muito bom!!!
vou testar aqui
Grato

[Murilopeixotoalmeida]

Bom dia Amigo, também passei pelo msm problema,

infelizmente não posso fazer igual ao amigo Darkih, pois preciso acessar minhas rbs externamente..

Então a solução que encontrei foi desativar os serviços que não uso (deixei apenas winbox), porém alterei a porta padrão dele,

Assim já fica bem mais complicado de alguém invadir

[darkih]

Bom dia Amigo, também passei pelo msm problema,

infelizmente não posso fazer igual ao amigo Darkih, pois preciso acessar minhas rbs externamente..

Então a solução que encontrei foi desativar os serviços que não uso (deixei apenas winbox), porém alterei a porta padrão dele,

Assim já fica bem mais complicado de alguém invadir

Nesse caso, antes da regra de drop você pode fazer o esquema de port knock.
Para desbloquear o endereço no qual você está conectado.
Ex:

/ip firewall filter
add action=add-src-to-address-list address-list=Rede address-list-timeout=1h chain=input comment="Adiciona IP na Lista de Rede Liberada" connection-state=new dst-port=5000 in-interface=WAN protocol=\
tcp src-address-list=knock02
add action=add-src-to-address-list address-list=knock02 address-list-timeout=10s chain=input comment="Knock 02" connection-state=new dst-port=4000 in-interface=WAN protocol=tcp src-address-list=\
knock01
add action=add-src-to-address-list address-list=knock01 address-list-timeout=10s chain=input comment="Knock 01" connection-state=new dst-port=3000 in-interface=WAN protocol=tcp

add action=drop chain=input comment="Bloqueia DNS recursivo" dst-port=53 in-interface=WAN protocol=udp
add action=drop chain=input comment="Drop Src-Address-List= !Rede" src-address-list=!Rede


Aí pelo navegador digito o IP:3000
aí sem seguida IP:4000
E IP:5000.
Na terceira vai adicionar o IP por 1 hora na lista de Rede liberada e você terá o acesso que precisa.