Прошло немного времени с тех пор, как прокатился пик взлома роутеров MikroTik, который обнажил очевидные уязвимости. Пик прошел, но проблема осталась. Да, компания Микротик «зашила» дыры в своем оборудовании, исправив возможности взлома. Но то тут, то там обнаруживаются новые случаи. Из этого следует одно: где-то кто-то использует старое оборудование, которое не обновлялось.
Для тех, кто не знаком с компанией MikroTik, — это латвийская компания, производящая сетевое оборудование. Помимо самого оборудования компания поставляет его вместе с собственной встроенной операционной системой. Оборудование — RouterBoard, операционная система к нему — RouterOS. Но все в совокупности в народе принято называть в честь самой компании — MikroTik.
Эти роутеры занимают средний сегмент. Это и не профессиональное, но уже и не домашнее оборудование. От домашнего они отличаются более большей функциональностью, но до мощного профессионального оборудования им еще далеко. Поэтому их клиенты — это в основном представители малого и среднего бизнеса.
В целом качество оборудования Микротик держится на высоком уровне. Однако Интернет не без «добрых» пользователей. Нашлись люди, которые обнаружили уязвимости продуктов MikroTik, и именно они инициировали пик массовых взломов роутеров. Популярными способами, которыми характеризуется взлом MikroTik, являются:
- прописывание Socks-прокси;
- установка чужого script’а для майнинга криптовалюты;
- установка правил в Файрвол;
- установка различных скриптов, влияющих на работу и безопасность использования оборудования;
- кража ваших логинов и паролей;
- перезагрузка вашего устройства;
- вывод на его экран (если он есть) какого-нибудь сообщения;
- способность заставить ваш роутер заиграть простую мелодию;
- и др.
Взлом MikroTik, на что обратить внимание
Как мы описали выше, есть несколько более-менее популярных моделей поведения, характеризующих взлом Микротик. Ниже мы приведем список самых распространенныхи объясним, на что следует обращать внимание, чтобы понять и оградить себя от хакерской атаки через уязвимости оборудования MikroTik.
Socks-прокси
При первоначальном монтаже и настройке оборудования на вашем «модеме» Socks-прокси должны быть отключены. Поэтому имеет смысл проследить за их состоянием сейчас. Если они включены, а вы этого не делали, значит, скорее всего, вы подверглись взлому. Чтобы отключить proxy и socks, у вас должно быть прописано следующее:
/ip proxy set enabled=no
/ip socks set enabled=no
После того, как вы все это сделали, зайдите в Меню и проверьте, есть ли у вас следующий файлик: webproxy/error.html . Это не файл, где выводятся ошибки, как может сразу показаться. Это script, который может вызвать криптовалютный майнер. Посмотреть активен ли он можно здесь:
/ip proxy access print
/ip socks access print
Наличие лишних скриптов
Как правило, любое оборудование MikroTik, к которому был применен взлом, может содержать сторонние скрипты. Они находятся в папке /system/script. В целом наличие сторонних скриптов неопасно. Суть их работы заключается в другом — они вызывают или «закачивают» другие скрипты, которые, в свою очередь, могут выполняться и приносить вред. Поэтому их можно удалить.
VPN
Есть два протокола, которые применяются при создании туннеля:
- pptp;
- l2pt.
Поэтому в первую очередь проверьте раздел /ррр secret, там может быть обнаружен профиль для подключения. Если там пусто — то уже хорошо. Тогда нужно проверить еще /radius, потому что в принципе для авторизации не всегда может применяться связка Login/Password. Пока и игрок и казино играют по правилам государства/закона это если и обман, то закнонный. Чтобы играть без вложений и получать бесплатные сатоши от казино, понадобится немного времени Тут есть даже турниры, как и в других известных казино. Возникли проблемы с входом в казино, используй рабочее зеркало Casino X с которым у вас точно не возникнут проблем. Единственная разница: в демо-версии полученные вознаграждения остаются на балансе казино, игровые автоматы на деньги «Гаминатор» отправляют натуральные купюры на счет игрока. Это позволяет играть в слоты без регистрации и бесплатно.
Поэтому перейдите в терминал роутера и попробуйте там вписать: /radius print. Если и тут пусто, тогда с VPN все в порядке. Если тут не пусто, тогда нужно все почистить следующей командой:
/radius remove numbers=[/radius find ]
/ppp aaa set use-radius=no use-circuit-id-in-nas-port-id=no
/user aaa set use-radius=no
Возможно, вы вообще не используете VPN. Тогда его можно просто отключить, чтобы обезопасить себя от взлома своего оборудования Микротик. Чтобы отключить, нужно прописать следующее:
/interface l2tp-server server set enabled=no
/interface pptp-server server set enabled=no
/interface sstp-server server set enabled=no
Статические DNS
Допустим, вас не атаковали для майнинга, но вы могли подвергнуться атаке для фишинга. Проверить это можно, если просмотреть статические DNS. Чтобы это сделать, введите:
/ip dns static
Вам откроется таблица с записями DNS. Если вы видите что-то, похожее на:
- daggerhashimoto.in.nicehash.com
- daggerhashimoto.hk.nicehash.com
- daggerhashimoto.jp.nicehash.com
В общем, если увидите то, что сильно отличается от остальных записей, то просто удалите содержимое таблицы. И не забудьте поменять пароль, потому что, возможно, при подмене записей DNS ваши данные уже «ушли» на сервера злоумышленника.
Это, конечно, не все уязвимости оборудования MikroTik, потому что технология взлома тоже совершенствуется. Но чтобы избежать таких инцидентов, возьмите себе за правило своевременно применять обновления от Микротик. Как правило, они сами выпускают прошивки своей ОС, которые вовремя устраняют уязвимости. Если все делать вовремя, то взлом вашего MikroTik будет невозможен.
Другое