ยังไม่มีสมาชิกที่ล็อกอินในขณะนี้
bulletบุคคลทั่วไป 3 คน
dot
dot
ชื่อผู้ใช้ :
รหัสผ่าน :
เข้าสู่ระบบอัตโนมัติ :
bullet ลืมรหัสผ่าน   bullet สมัครสมาชิก
dot




Spyware on Mikrotik

สวัสดีครับ วันนี้มีเรื่องมาเล่าสู่กันฟัง
update 5/1/2018 ตอนนี้ spyware ได้พัฒนาความรุนแรงขึ้นโดยไม่สามารถ RESET หรือ Netinstall ลงไปได้ครับ
อาการ login winbox อาจได้ แต่สิทธิ์เป็น read only แก้ไขค่าอะไรไม่ได้,mikrotik reboot บ่อย

ข้อมูลล่าสุดตอนนี้
28/4/2018 กรณีเจอตัวแรงไม่สามารถแก้ไขได้เลยครับ คำแนะนำจาก mikrotik


On 3/30/18, 6:05 AM, "MikroTik" <no-reply@mikrotik.com> wrote:

>Hello,
>
>It has come to our attention that a rogue botnet is currently scanning
>random public IP addresses to find open Winbox (8291) and WWW (80) ports,
>to exploit a vulnerability in the RouterOS www server that was patched
>more than a year ago (in RouterOS v6.38.5, march 2017).
>
>Since all RouterOS devices offer free upgrades with just two clicks, we
>urge you to upgrade your devices with the "Check for updates" button, if
>you haven't done so within the last year.
>
>More information can be found here:
>https://forum.mikrotik.com/viewtopic.php?f=21&t=132499
>
>Best regards,
>MikroTik
 

กันไว้ดีกว่าแก้เนื่องด้วยทาง mikrotik แนะนำเพิ่มเติมให้เปลี่ยน port winbox และ up ROS ล่าสุด
1.กำหนด password หรือสร้าง user สิทธิ์ Full กำหนด password ใหม่ ปิด admin เดิม
2.ปิด service port 21,22,23
ผมทำแค่ 2 อย่างนี้ mikrotik ของที่ร้าน เคยเซตให้ลูกค้า หรือใช้เทสเอง ยังไม่โดนซักตัว
เต็มที่ก็เห็นว่าใน log มีพยายามแฮกเข้ามา แต่ login failure

3.เปลี่ยน port 8291 และ 80 เป็น port อื่น
4.firewall drop ip ที่พยายามเข้า 21,22,23

script protect mikrotik.txt

อธิบายคร่าวๆ จุดที่ต้องเปลี่ยนคือสีแดง
1.
my_site_mikrotik คือชื่อของ mikrotik ที่ต้องการเช่น THE1Condo
2.ตัวสคริปท์จะเปลี่ยน user admin เป็น admin_admin และกำหนด password ให้ยากเข้าไว้
3.กำหนด user ใหม่อีกชื่อสิทธิ์เท่า admin password ยากเช่นกัน (รูปแบบเป็น <AZ><az><09><symbols>)
4.เปิด service port และเปลี่ยน port www และ winbox ตรง 89 กับ 1928 หรือตัวตำแหน่งที่ไฮไลท์แดง อย่าเอาตามผมนะครับ

/system identity set name=my_site_mikrotik
/user set admin password="A{di&1(J" name=admin_admin
/user add name=admin_admin2 password="=p5Y[wj0" group=full
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=89
set ssh disabled=yes
set api disabled=yes
set winbox port=1928
set api-ssl disabled=yes

หลังจากเปลี่ยน port เวลาเข้าผ่าย ip หรือ cloud ของ mikrotik จะต้องใส่ port ตามด้วย
เช่น 192.168.100.1:1928 ไม่เช่นนั้นจะเข้าไม่ได้ครับ
วางสคริปท์นี้หลังจากที่สั่ง system>reset เอาค่า default ออก ย้ำว่าก่อนที่จะต่อเนตให้ mikrotik ครับ

ssh bruteforce protection ตามด้านล่างยังไม่ต้องทำก็ได้ครับ

อันนี้ทาง webmaster แจ้งมาว่ากรณีไม่ทำตามด้านบนแล้วโดนแฮ็ค
การรับประกันไม่ครอบคลุมนะครับ ตามเงื่อนไขข้อ 5
5.สินค้าถูกใช้อย่างผิดวิธี หรือเกิดอุปัติเหตุกับสินค้า

กรณีส่งซ่อมมีค่าใช้จ่าย ลูกค้าต้องจ่ายเองครับ

จริงๆอยากรับประกันตรงจุดนี้ให้ แต่ถ้าตัวเดียวมาเคลมหลายๆรอบ มันไม่คุ้มครับ
เหมือนเราซื้อบ้านเค้ามีประตูหรือกุญแจให้ล็อค แต่เราเปิดประตูหรือไม่ล็อคพร้อมให้คนนอกเข้าออกได้ตลอดเวลา

สคริปท์เท่าที่เจอจะมี 2 ระดับ
-สคริปท์ที่ยังปราณีอยู่ จะตั้งให้เหลือ hold for reformat ตัวนี้จะสามารถ netinstall ได้ กล่าวคือ แก้ไขตามบทความนี้ได้ครับ
-สคริปท์ที่ไม่ปราณี 
มันจะ เปลี่ยนเวลา hold for reformat,ปิด putty,ปิด LED,ปิด log,เปลี่ยนสิทธิ์ admin เป็น read สร้าง sys เป็น full,set boot nand-only,เปิด silent Boot(ปิดเสียงลำโพงบนบอร์ด) ,ใช้ Procted Routerboot (ไม่ให้แก้ไขค่า) 
ตัวล่าสุดสามารถปรับระดับการกด Reformat Hold Button ได้,เปลี่ยน password system ทุกๆ 5 วินาที


อันนี้ที่เขียนเพิ่มไว้
http://www.wifi4you.com/Amp/Soft-RESET--Hard-RESET-Mikrotik.html


ที่จริงอาการนี้ก็เห็นตั้งแต่เดือนกรกฏาคม 2560 แล้ว แต่ผมไม่เขียนเพราะไม่คิดว่าจะเจอเยอะ
จนมีลูกค้าเจอแล้วแจ้งว่า Mikrotik เสีย จะขอเปลี่ยนตัวใหม่
ทั้งๆที่ มันก็ไม่ได้เสียครับ

ครั้งแรกที่เจอ ผมเจอกับ RB1100AHx2 ลูกค้าแจ้งว่ามัน backup คอนฟิกไม่ได้
เลยไปไล่ๆดูอาการ

อาการที่พบ

-Mikrotik มีอาการ Restart บ่อย 
-คอนฟิกที่สร้างไว้ รวนหรือผิดเพี้ยนจนเดิม
-CPU ทำงานหนัก หรือพูดง่ายๆคือมันกินทรัพยากรสูงขึ้น

เท่าที่คุยกับลูกค้าเจออาการที่แจ้งว่ามัน Reboot หรือ Restart บ่อย
ถ้ารุ่นเล็กๆ ถี่เลย ถ้าเป็นรุ่นใหญ่จะนาน 3-4 ชม.หรือเป็นวัน
ผมถามลูกค้าแค่ว่าให้ login เข้า winbox เช็ค
1.IP>Service 21,22,23 เปิดอยู่ใช่หรือไม่
2.System>Script มี Script ชื่อ system Run Count ทุกๆ 1 วินาที ใช่หรือไม่

CCR ก็ CCR เถอะ Reboot เป็นว่าเล่น

สาเหตุ
-ไม่ปิด service ftp(21),ssh(22),telnet(23) เลยโดน spyware เจาะ
***เจอกับ WAN ที่เป็น PPPoE สำหรับ WAN ที่เป็น DHCP ผมยังไม่เจอ

วิธีป้องกัน
ก่อนต่อเนตให้ PPPoE WAN กำหนด user/password ใหม่ ปิดสิทธิ์ admin หรือลบไปเลย อันนี้สำคัญมาก



ปิด Service เหลือแค่ winbox กับ www ครับ
อันไหนจะใช้ค่อยเปิดใช้งาน


เอาชัวร์อีกขั้นก็ firewall block access ผ่าน port 21,22,23
วิธีป้องกันเหมือนมันง่ายๆครับ (จริงๆก็ง่ายนั่นแหละ แต่ถ้าโดนแล้วล่ะ หายนะเลย)

ตัว spyware สร้างความเสียหายหนักแล้วครับ ทำให้ mikrotik ใช้งานไม่ได้เลย
อย่าให้มันติดครับ

เดิมๆ firewall ของ mikrotik มันบล็อคไว้อยู่แล้ว เช่น กรณีที่ใช้ default ของ mikrotik
ดังที่ผมกล่าวว่า WAN ที่เป็น DHCP หรือ Static ยังไม่เจอ spyware ตัวนี้เจาะได้

สังเกตุง่ายๆ
-System>Script มี Script รันทุกๆ 1 วินาที ลบแล้วกลับมา
-System>Scheduler มี Script สั่งรัน Script ด้านบน ลบแล้วกลับมา
-File List สร้าง txt ไฟล์ code0.txt,intru.txt,jail.txt
-Log หาย สังเกตุโดยเข้าไปดูใน Log จะไม่มีอะไรอยู่เลย ตัว spy มันปิด ไม่ให้ตาม
-ที่ว่าอันตรายคือ มันเปิด ftp,ssh,telnet ถ้าดักข้อมูลเก็บลงใน mikrotik มันเข้ามาเอาออกไปได้ง่ายๆเลยครับ

เจอแบบนี้ผมแนะนำให้
1.System>Reset Configguration เริ่มคอนฟิกใหม่ทั้งหมด
2.netinstall ลง ROS ล้างใหม่หมดเลย เอาชัวร์ๆก็ล้างเลยครับ
ทั้งสองวิธี ทำเสร็จอย่าลิมเปลี่ยน user/password และเปลี่ยน port ด้วย ไม่งั้นก็กลับมาเหมือนเดิม

กรณีไม่อยากคอนฟิกใหม่
1.ให้ Disable WAN ที่เป็น Internet ออก แล้ว Reboot
2.ลบ Script และ Scheduler ออก 2 จุด
3.ไปที่ File list ลบ 
code0.txt,intru.txt,jail.txt ออก
4.ไปที่ Log เปิด Log
5.ปิด Service 21,22,23 เหลือแค่ winbox กับ www
6.กำหนด user/pass ใหม่และปิด user admin ซ่ะ
ลอง export script ดูว่ามีอันไหนแปลกๆอยู่หรือเปล่า

ถ้าไม่มีค่อยเปิด WAN แล้วคอยดูอาการต่อไป ตัวที่ผมเจอลองทำแบบนี้แล้วหาย
อีกวิธีหนึ่งที่เห็นเค้าทำแล้วแจ้งว่าหายคือ
สร้าง user ชื่อ system แล้วไปลบ scrip และ schedule <<< อันนี้ลองดูครับ

สำหรับวันนี้สวัสดีครับ
update 28/4/2018

 




ง่ายๆ สนุกๆ กับการตั้งค่าอุปกรณ์ โดย ช่างอำพล

userman สำหรับ CPU ARM,MMIPS มาแล้ว
ACB-AC
Soft RESET & Hard RESET Mikrotik
RB1100AHx4 Dude Edition
UVC G3+LED
PPC Load Balance Mikrotik
RB3011UiAS-RM อยากมี userman
airOS 8 กับ airOS 6
วิธีการเปลี่ยนหน้า login hEX Series
ER-X vs ER-X-SFP
PPPoE Server Mikrotik
RB850Gx2
Edge Switch vs UniFi Switch
upgrage airVisionNVR to UniFiNVR
RB450G ROSv6.x can not downgrade to 5.x
UniFi Video
แนะนำ Device Mikrotik
RB450G+RB2011UiAS-RS232
ALFA Wireless USB adapter FOR MAC OSX
วิธีการเพิ่ม IP Pool Mikrotik
Class Mikrotik RouterBoard
อัพ Firmware AIP-W525Hv2
Mikrotik RB750UP
UBIQUITI TOUGHSwitch PoE
TestDrive AIP-W525Hv2
036NHRv2
airVision2 NVR
AIP-W525Hv2@TRUEWIFI
อยากให้เธอลอง AIP-W525H v2
Tube2H 802.11n Long-Rang Outdoor AP/CPE
Backup ค่า config Mikrotik
Channel Overlap
Mikrotik Send IP TO EMAIL V.2
UBiQUiTi TOUGHCable PRO
no-ip กับ Mikrotik
อัพ firmware AIP-W525H
วิธีการเปลี่ยน IP Mikrotik
WISP-NSR Low-Cost Outdoor CPE
POE MoD
Multiwan Ratio
วิธีแก้ปัญหาเบื้องต้นตัวรับ USB Wireless
Userman v.5.xx Mikrotik
Downgrade ROS Mikrotik
รีวิว USB Outdoor เสา Panel
รวม Internet 4 เส้น แบบ 4 PPPoE และ 2 PPPoE+2 static to 1 LAN
static IP กับยอมให้ client ที่รับ dhcp เท่านั้นใช้งาน Internet ได้
Mikrotik Send IP TO EMAIL
Tower สูงกับการเลือกช่องความถี่ของ AP
วิธีการเก็บ log file จาก Mikrotik โดย NSA210
ปลุกน้องติ๊ก RB Series7
FAQ PowerMax AIP-W515H/AIP-W525H
Mikrotik 4wan static load balance
ระบบบันทึก Motion Record AirCamDome
Mikrotik 1 WAN PPPoE พร้อม Hotspot
ต่อเนตให้น้องติ๊กโดย Default Config
support ผ่าน internet
เริ่มต้น ROS Mikrotik
วิธีเปิดใช้งาน POE Passthrough อย่างถูกต้อง
เลือกตัวรับ USB Hi Power ให้เหมาะสมกับงาน
airCam และ airCam Dome
รีวิว ALFA 036NHA 800mW b/g/n MIMO
รีวิวกึ่งทดสอบ CPE Outdoor Tube-U รุ่น N และ G
AIP-W411 firmware dd-wrt
WDS
เปลี่ยนตัวรับสัญญาณ ALFA USB เป็น AP
PowerMax515 Repeater
วิธีการตั้งค่า ALFA AWAP-411 และ AWIP-W411
ฟังค์ชั่น QOS PowerMax515 และ 525
Bridge Mode+PPPoE Loco M2
PowerMax525 ตั้งค่าแบบบ้านๆกัน
HomePlug AHPE303
PowerMax AIP-W525H Universal Repeater
ฟิก ip