Não bastasse ubnt com virus Mikrotik também? Será?

[teresopolis]

Boa tarde a todos,
Olha nas ultimas semanas não tenho feito nada além de correr atrás do rabo apagando cpe por cpe o virus da ubnt manualmente, porque manual? Tenho visto vários relatos dos provedores que tiveram centenas de cpes resetadas, aqui a coisa foi bem diferente e no meu ver pior. Tivemos muitas cpes sem acesso, ou seja além de infectadas mudaram os dados de acesso, com isso não consigo acessar remotamente o equipamento para fazer o procedimento de limpeza, dai o motivo cruel de ter de ir em cliente por cliente. Isso de fato tem nos matado aqui....
Tenho aqui um servidor dns rodando, e nele que estou acompanhando os equipamentos infectados, pois em meu caso aqui eles ficam atacando o server dns gerando inumeras requisições e com isso derrubando o dns. Rodo o comando tcpdump para monitorar.
Até ai tudo bem, só que mesmo com o estágio de limpeza bem adiantado a lista tem diminuido pouco, ai analisando os ips percebi que na lista consta ips de clientes com sxt da Mikrotik, acessei o equipamento fiz a atualização e para minha surpressa apareceu a imagem que vou tentar por em anexo... Ai pergunto, será que esse virus contamina também mikrotik? Alguém pegou em mikrotik também, se sim qual o processo de remoção?
Olha adicionei a imagem, como não sei se irá aparecer corretamente a imagem, segue o descritivo que achei quando abri o new terminal da sxt: DEFAULT ADMIN ACCOUNT HAD NO PASSWORD AND DEVICE WAS HACKED! Account au...
Detalhe que ele fala não ter senha admin diferente da padrão, essa device nçao estava com senha default.

[JhoniVaz]

Mas consegue acessar o aparelho né, com qual usuário ?

[teresopolis]

No caso da sxt que citei consigo acessar normal, até atualizei ela, só que como falei acima. Quando acessei i new terminal apareceu essa mesnsagem, ai queria saber se se fato a sxt também foi contaminada.
Com relação aos ubnts, esse foi trocado os dados de acesso, não consegui de jeito maneira entrar, nem com o tal usuario mother e senha fucker.
A pergunta é a seguinte: Será que infectou os mikrotiks também? segundo a imagem parece que sim. Ai como fazer pra desinfetar mikrotik?

[teresopolis]

Meio duvidoso isso ocorrer, o RouterOS é totalmente fechado para que se torne possível a intrusão de algum vírus.

Campeão então como me explica a imagem? acha que montei é isso? Fiquei tão surpreso quanto você, estou atrás de saber uma explicação para isso...

[diegonaster]

Meio duvidoso isso ocorrer, o RouterOS é totalmente fechado para que se torne possível a intrusão de algum vírus.

Complicado afirmar isso, pois ubnt e mikrotik é base linux.

[teresopolis]

Em fim, minha ideia e acredito de ninguém no forum e tumultuar e sim entender, pois é fato que nos últimos dias várias Empresa sofreram com isso. Esperar realmente alguém que possa contribuir com todos informando se teve algo parecido. Minha dúvida é saber se de fato está ou não infectada a sxt.
Estranho que mesmo após a atualização, se eu entrar no new terminal tá lá a mensagem....De qualquer forma, agradeço a contribuição ao post.

[leosixers]

No caso do seu Mikrotik talvez não tenha sido um vírus como o do UBNT, mas sim um ataque pontual. Talvez alguém scaneando IPs na internet e verificando as portas abertas, procurando por protocolos desatualizados com falhas de segurança.

Esse equipamento estava exposto a internet com IP válido? Quais portas estavam abertas?

Abraços

[Nielsen]

Impressão minha ou pediu para acontecer?
Default admin ??
Me ajuda ai neh

[Fcnetwork]

Já vi em vários mk ( nao so MK, qualquer equipamento com ip valido, basta olhar log que alguma vez deve ter ocorrido), tentativas de acessos, portas padrao, e users padrao, ips de diversos lugares do mundo, agora vai ai do seu gerenciamento permitir ou nao o acesso hehehe. Alterar portas, senhas fortes, entre outros técnicas.
Se acessaram sua mk, confere se nao add nenhum script a ela.
E isso não se compara ao vírus que infectou as ubnts, pois ela não esta copiada na sua rb e replicando na rede, ta só com cara de invasão por falta de cuidado mesmo.

[berghetti]

Porque essa mensagem apareceu não sei, mas se quiser retirar só alterar o diretório system/note

http://wiki.mikrotik.com/wiki/Manual:System/Note

[rimaraujo]

provavelmente ele deixou o MK com ip publico, sem senha no usuário ADMIN. ai a pessoa entrou no seu equipamento, e simplesmente deixou essa mensagem para te alertar.

[Nielsen]

Newbie over 9000

[rubem]

E ainda que tenha modificado a senha do admin, aquela lista GIGANTE de ataques que MK recebem (Geralmente de IP's Chineses) quando tem IP público me diz que eles ficam tentando ataque por dicionário.
Vai tentando
admin:admin
admin:nimda
admin:root
admin:toor
admin:adminadmin
admin:123456

Olha o projeto completo:
http://mkbrutusproject.github.io/MKBRUTUS/

O modo de evitar isso é usar senha complexa, nome de usuário complexo, remover o admin, e fazer isso:
http://wiki.mikrotik.com/wiki/Brutef...gin_prevention

(Usem l33t nas senhas, qualquer nome longo em leet já atrapalha anos o brute force, o João da Silva escreveria J040_d4_S1lv4, já inviabiliza completamente o ataque por dicionário, e se criar um leet próprio, colocando digamos $ por S, ou £ por l, complica ainda mais, um brute force exigiria todos os caracteres do teclado, fora os regionais (§ e ç são mais comuns no brasil, £ e € na europa, mas vai que você tem um teclado de outro país, talvez um teclado do Paraguai com um ¿))

Dia que tiver como roubaro hash, e fazer o teste senha por senha localmente, aí MK vai estar lascado, mas hoje só o que é possível, fora trojan's e backdoors, é ataque por força bruta ou dicionário, 2 ataques super simples de barrar.

[marcelorodrigues]

Ou acessa o mikrotik apenas por rede interna bloqueando o acesso externo na porta 8291.
Ou muda esta porta, e se não usa ssh e telnet desativa na aba IP/Services

[Teixeira30]

Olá!
Amigo, também estou com o mesmo problema.
Segue imagem abaixo, alguém pode ajudar a resolver isso?

[Nielsen]

Olá!
Amigo, também estou com o mesmo problema.
Segue imagem abaixo, alguém pode ajudar a resolver isso?

reset e atualize para utlima versão

[Teixeira30]

Boa tarde!
Amigos, estava procurando em outro forum e conseguir resolver, vou deixar um tutorial aqui.

1. Para quem está ou estava com esse problema como eu, resolvi da seguinte forma.

2. Criar um arquivo com nome: sys-note.txt, caso não tenha ainda.
3. Depois edita conforme desejar.

[sgnetararuama]

Sorte sua que a pessoa so invadiu e te avisou que sua senha não era segura.
Pessoal, vamos usar um pouco mais de segurança, ficam usando senha básicas ai depois ficam reclamando

Olá!
Amigo, também estou com o mesmo problema.
Segue imagem abaixo, alguém pode ajudar a resolver isso?