Исследователи из лаборатории 360 Netlab выявили (https://blog.netlab.360.com/7500-mikrotik-routers-are-forwar... вредоносную активность, в результате которой злоумышленники получили контроль за необновлёнными маршрутизаторами MikroTik. Атака была совершена через эксплуатацию уязвимости CVE-2018-14847,
устранённой (https://forum.mikrotik.com/viewtopic.php?f=21&t=133533) в апрельском обновлении MikroTikOS 6.42.1. Уязвимость была вызвана ошибкой в компоненте Winbox и позволяла изменить настройки устройства без прохождения аутентификации. По данным 360 Netlab в сети сейчас находится около 370 тысяч устройств MikroTik с неисправленной уязвимостью.Многие из этих устройств уже атакованы. Например, на 7500 устройств обнаружено изменение настроек перехвата пакетов и зеркалирования перехваченного трафика с использованием протокола TZSP (https://en.wikipedia.org/wiki/TZSP). Трафик отправлялся на один из девяти внешних IP-адресов с использованием выборочного отфильтровывания запросов на сетевые порты 20, 21 (FTP), 25 (SMTP), 110 (POP3), 144 (IMAP), 161 и 162 (SNMP). Наибольшее число устройств было поражено в России (1628), Иране (637), Бразилии (615), Индии (594) и Украине (544).
На 239 тысячах устройств обнаружено создание скрытой точки проброса трафика, которая была организована через включение прокси Socks4, открытого только для подсети 95.154.216.128/25. Также зафиксирована неудачная попытка использования маршрутизаторов для вовлечение пользователей в майнинг криптовалют. На некоторых устройствах атакующие включили HTTP-прокси и настроили проброс всех запросов к HTTP-прокси на локальную страницу, выводимую при HTTP-ошибке 403. На эту странице был добавлен JavaScript-код для майнинга криптовалюты, загружаемый с сайта coinhive.com. Код оказался нерабочим, так как загрузка данных с coinhive.com также подпадала под установленный атакующими ACL.
URL: https://blog.netlab.360.com/7500-mikrotik-routers-are-forwar.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=49226
Всегда при покупке роутера сношу заводской бэкдор и ставлю OpenWRT. Будь мужиком, делай как я!
Это Микротик. На него крутые хацкеры обычно ставят Хакинтош.
Хакиншто на MIPS?
Всегда при выборе роутера иду на сайт опенврт, проверяю совместимость современных моделей читаю отзывы и беру наиболее подходящий чтобы снести заводской шлак и поставить опенврт
Тоже почитал подобных заявлений и сделал. В итоге куплены 2 роутера, оба как оказались с проблемами, на одном мало памяти а другой чтоб прошить надо паять сериал порт. В общем лотерея это, всегда производитель может выпустить модель несовместимую с такой же но версии на 1 меньше, и не вскрыв корпус или попытавшись реально прошить об этом не узнаешь. Кроме десятка очень часто обсуждаемых на форумах OpenWrt, но и цены на них побольше.
Сколько покупал роутеров - все прошивались через загрузку прошивки через вебинтерфейс. В отдельных случаях только приходилось их хитро перезагржать. И никаких вскрываний корпуса. Выбирать надо роутер нормально
Конечно, и покупая хлеб в магазине надо приходить не как лох c сумкой и деньгами, а с газовым хроматографом, чтобы знать какие компоненты добавили. Ненене это не производитель хлеба опилок напихал, а название продукта не изменил, это ты лох что купил.
Абсолютно верно. Только не с газовым хроматогрофом (зачем он тут вообще приплетён?), а с базой данных плохих производителей хлеба.
> Абсолютно верно. Только не с газовым хроматогрофом (зачем он тут вообще приплетён?),
> а с базой данных плохих производителей хлеба.Неплохо вам мозги промыли.
То что ему промыли мозги, не означает, что мозги не промыли тебе.Человек предлагает черный список. Решение не очень надежное, но хоть какое-то.
А что предлагаешь ты, в условиях когда соответствующие службы не справляются с потоком коммерсантов желающих максимально удешевить себестоимость продукции и потому пихающим в неё что не попадя?
Или ты из тех с "непромытыми мозгами", что на голубом глазу заявляют, будто качество продуктов растёт год от года?
> Человек предлагает черный список. Решение не очень надежное, но хоть какое-то.Человек соглашается с тем, что виноват тот, кого нае*али.
> А что предлагаешь ты, в условиях когда соответствующие службы не справляются с
> потоком коммерсантов желающих максимально удешевить себестоимость продукции и потому
> пихающим в неё что не попадя?Например, для начала не оправдывать кидал и мошенников всех мастей. Потому что, если включить голову и подумать, то и черный список сначала нужно составить (и пополнять) и не у всех есть желание подставлять себя или близких в качестве подопытных кроликов.
> Или ты из тех с "непромытыми мозгами", что на голубом глазу заявляют,
> будто качество продуктов растёт год от года?Эк тебя пробрало-то -- сколько всяких фантазиий между строк вычитал.
>> УДАЛЕНО.WARNBOT, Реакция: bot info, Санкционировано: gvy, Пояснение: мат, Время: Wed Sep 5 22:14:42 2018Индикатор нарушения: "порно
>> УДАЛЕНО.WARNBOT, Реакция: bot info, Санкционировано: gvy, Пояснение: цитирование мата, Время: Wed Sep 5 22:14:50 2018
>> Индикатор нарушения: "порно то так и будет впредь сам виноват, упорно раз за разом вбегая на грабли."вы там это, бота поправьте, если уж неохота вчитываться. А то сносить все из-за "порно" в "Упорно" как-то немного перебор.
Чёрный список в условиях чисто товарно-денежных и дарвинистических отношений скорее примет на себя функцию инструмента для устранения с рынка неугодных, нежели что-то другое :)
>это не производитель хлеба опилок напихал, а название продукта не изменил, это ты лох что купил.Особенности дикого капитализма в отдельно взятой стране. Не умеете вы в сарказм.
Покупать надо не хлеб, а домашнюю хлебопечку. Уже 4 года только компоненты для хлеба покупаем :).
от неё жирнеют. Слишком вкусно и слишком безлимитно. Отвез теще, скинул набранные 15 кило. Люблю хлеб. Но разница есть: приговорить на ужином буханочку из хлебопечки, или пару кусков магазинного.
Чтобы не жиреть, надо перестать готовить и есть дома. Еда в ресторане отделена от тебя расстоянием, в результате ты не можешь постоянно готовить и жрать.
Ресторан в 15 шагах от дома. Вышел - поел. Пожирнел. Профит.
Она место занимает...
На кухне как назло его не хватает вечно...
Хлеб из исходников? Даже безотносительно его гастрономических качеств, на порядок превосходящих блоб из магазина, в этом что-то есть. ))
в последних тплинках проши ставятся только через tftp-рекавери =)
>на одном мало памяти а другой чтоб прошить надо паять сериал портА ты хотел и на елку влезть, и жеппу не ободрать? Плохо матчасть изучал. Перед покупкой следовало сходить на оффсайт openwrt https://openwrt.org/toh/views/toh_fwdownload и проверить железо на совместимость. У каждой маломальски поддерживаемой модели есть страница с описанием подводных камней. До кучи нужно было заглянуть на wikidevi чтобы уточнить ревизию железки, а не покупать наобум. И да, если
>паять сериал порткривизна рук не позволяет (три провода - gnd/rx/tx - блджад!), гораздо меньшим злом было бы приобрести дырявый microtik и радоваться жизни.
>и не вскрыв корпус или попытавшись реально прошить об этом не узнаешь.Можно подумать, что удачно прошив не вскрывая корпуса, не лишишься гарантии.
> Можно подумать, что удачно прошив не вскрывая корпуса, не лишишься гарантии.Удачно прошив LEDE, удачно и на сток откатишься! Я так сдал тормозной TP-Link и купил вместо него xiaomi mi 3g за те же деньги.
Чаоми знают толк в роутерах!
С тем же асусом — нет. Его ОЧЕНЬ проблемно запороть.
Смотри "HW Version" на упаковке.
Всегда покупаю Mikrotik и тупо закрываю доступ извне XD в последнее время с Quick Set это вообще может сделать любой ламер. Одной птичкой. Включённой по умолчанию.
А если кто-то не умеет настраивать брандмауэр, то кто ж ему доктор?
А как баги, бекдоры в проприетарной прошивочке Микротика?
В мире, где весь важный трафик идёт в зашифрованном виде, вы боитесь бэкдоров в роутере или свиче. Аллюминиевую шапочку вам изготовить?
Вы изготавливаете в штучном экземпляре или большими партиями?
Ознакомьтесь с возможностями sslstrip. Заранее говорю, что для 95% населения без проблем прокатывает, они вообще не хотят знать, что там за замочки нарисованы.
Во-первых, как я уже сказал, настройте наконец брандмауэр, чтобы в ваши порты управления не долбились конём тупые боты и считающие себя сильно умными хакеры. До маршрутизаторов под моей ответственностью вот так запросто не добраться, что и снижает вероятность взлома до практического нуля. Сколько бы там дыр в прошивке ни понаходили в будущем.
А во-вторых - баги постепенно закрываются, а баги, которые приводят к возможности получить к маршрутизатору удалённый доступ, закрываются ну очень оперативно. Вот этот баг, про который сейчас так шумят, буквально за несколько дней закрыли в rc прошивке и, кажется, недели через полторы-две вышла стабильная с закрытым багом. Сложного софта без дыр не бывает, а оперативность разработчиков - это здоровенный плюс к репутации.
Кстати, а чего про баг в Cisco Smart Install никто не вспоминает?
цисководы сюда не приходят
В нормальных то роутерах эта птичка изначально снята. Просто так ли?
> Всегда при выборе роутера иду на сайт опенврт, проверяю совместимость современных моделей читаю отзывы и беру наиболее подходящий чтобы снести заводской шлак и поставить опенвртСтранный подход.
Если бы вот мне с чего-то упёрлось бы купить роутер для OpenWRT, то я и бы купил с OpenWRT из коробки 📦
Как-то странно поддерживать деньгами тех, чей продукт не нравится...
GL.iNet?
> Если бы вот мне с чего-то упёрлось бы купить роутер для OpenWRT, то я и бы купил с OpenWRT из коробкиНаверное, никогда не упиралось. Неоправданно дорого это всё для домашнего хоз-ва. OpenWRT много под чем работает без вопросов.
Вот только зачем тебе в таком случае брать microtik? Или ты из тех, что на берет макбук и ставит туда винду/линукс?
А зачем еще нужен макпук если его использовать?!
Друх Аноним, нам с тобой можно какие угодно дураЦЦкие комментарии писать.
Сам ставлю OpenWRT. Прошивка от народа!
> Прошивка от народа!Если вы считаете, что 76% народа правы, то это Ваш путь.
>Всегда при покупке роутера сношу заводской бэкдор и ставлю OpenWRT.Проатит если только данная модель поддерживается.
Адекватные люди сперва смотрят список поддерживаемых устройств, а потом покупают.
И на большую часть устройств прошивки так и идут альфа или бета - потому что большая часть устройств не уперлась никому настолько, чтобы пилить релиз.
Да им хоть что поставь, всё равно ни обновлять не хотят (а некротикда, оно с заглавной буквы "Г".
Вы просто не умеете Mikrotik готовить. Впрочем, OpenWRT тоже нужно уметь готовить. Но Mikrotik проще и больше подходит для мест, где нужно не экспериментировать и шаманить, а быстро купить конкретную модель, быстро настроить и чтобы сразу всё предсказуемо заработало, а OpenWRT гибче и позволяет делать вещи, для которых раньше приходилось ставить Linux box из старого системника. Для разных целей разные вещи лучше подходят, только и всего.
А, да - ещё есть группа поклонников Zyxel Keenetic %) и вроде бы Asus в последних моделях роутеров что-то интересное делает как раз в плане расширяемости и настраиваемости. Но я не смотрел, мне пока что и первых двух хватает.
> Всегда при покупке роутера сношу заводской бэкдор и ставлю OpenWRT. Будь мужиком,
> делай как я!Мож сразу на неттоп перейти?
Я ставлю miniITXы. Мне веб морды не надо вобщем-то. Сколько не видел прошивок да даже microtik - не могут сделать ввод правил iptables по доменным именам. Напримерiptables -A FORWARD -d vk.com -
j REJECTА приводит это к тому что ты забываешь потом что это за айпишники и для чего надо.
Просто тупизна какая-то и приводит к бардаку в файерволе.
> Я ставлю miniITXы. Мне веб морды не надо вобщем-то.Кому как, когда как. Я Mikrotik настраивал и по ssh, и через веб-интерфейс, и через Winbox / TikApp, и MAC-Telnet как-то пришлось использовать. Разве что по telnet ни разу не приходилось.
И лучше пусть у меня будет больше разнообразных возможностей. Это действительно бывает удобно.> Сколько не видел
> прошивок да даже microtik - не могут сделать ввод правил iptables
> по доменным именам.Не "не могут", а "не хотят". Из соображений принципиального характера.
"For several very good reasons, it is not possible to put host names directly into firewall rules." - https://wiki.mikrotik.com/wiki/Use_host_names_in_firewall_rules
По этой же ссылке желающие могут получить пример скрипта, который делает примерно то, чего они хотят от маршрутизатора, не понимая всех нюансов проблемы.> Например
> iptables -A FORWARD -d vk.com -
> j REJECTУ vk.com, на минуточку, не один IP. Здесь dst-address-list использовать нужно. Ну вот и обозвали бы его vkcom xD
> А приводит это к тому что ты забываешь потом что это за
> айпишники и для чего надо.Комментарии писать не пробовали?
> Просто тупизна какая-то и приводит к бардаку в файерволе.
Вот полностью согласен. Сначала пишут настройки как попало и без комментариев, а через год сами разобраться в своём же творчестве не могут и бардак у них в итоге полный.
>> Сколько не видел
>> прошивок да даже microtik - не могут сделать ввод правил iptables
>> по доменным именам.
> У vk.com, на минуточку, не один IP. Здесь dst-address-list использовать нужно. Ну
> вот и обозвали бы его vkcom xDНет, создастся я несколько правил для всех ip если не view.
С остальным согласен, но мне удобнее читабельный файервол чем комменты, и да --dport https по /etc/services :)
можно и без комментариев: называете цепочку in_block_vkcom, а в ней перечень с action reject для каждой A-записи домена, которого хотите заблокировать. и все читается на ура: в цепочке, фильтрующей входящий траффик переход на цепочку содержащую имя блокируемого домена, сама же цепочка находится в другом месте с ip адресами, но и там тоже все ясно с первого взгляда.
Будь мужиком, удали аккаунт вконтакте.
У меня его вообще никогда не было. Как и однголазники и пейспук.
И носишься с этим вечно бета-изделием? Мужиииик, ну да!
Микротик как бы не хуже опенврт. А для проф применения наверняка лучше. Для домашнего использования только не хватает возможности запустит тор или какой-то vpn сервис типа wireguard и neorouter. В теории есть метароутер, но нет решений готовых.
Чтоб сабжевую уязвимость словить надо винбокс в интернет выставить?
> Чтоб сабжевую уязвимость словить надо винбокс в интернет выставить?В общем, да. В любую сеть, которую в принципе могут сканировать боты, ищущие эту уязвимость. Как правило, именно в Интернет.
На Cisco поставь опенврт! Крутбл будет! Только чур плюс видео от установки и до окончательной настройки. С комментариями.
Выставил 22,8291 tcp-порты в инет? Молодец, сам себе злобный буратино.
Что это?
интернет? Ну это та штука с пластмассовым набалдашником, торчащая из дырки в стене, которую мы в некротик втыкаем.
> WinboxНикак сам M$ приложил свои грязные лапы...
RouterOS дикая проприетарщина. Где проприетарщина там M$.
Чё вы несёте... Какой openwrt? Вы ещё циску купите и туда свой врт прошейте.Какой ещё Ms?) Или вы если вместе видите 3 заветные буквы то это ввме Ms?)
> Вы ещё циску купитеЦиску покупают не для себя, а для откатов. Ну или для понтов.
а для работы только джунипер ?:)
>Циску покупают не для себя, а для откатов. Ну или для понтов.Золотые слова! Жму руку.
ППКС.
Лично наблюдал сиськовафлю за восемь тыров. Она одиноко висит на складе. А для ее подключения висит последовательно ДВЕ арубы: одна в полуметре от другого свитча , другая в четырех от ТД. Зачем? ТАК НАДО.
Что такого в циске есть чего нет в openwrt, кроме бэкдоров?
железо. тот же ASIC для маршрутизации.
ASIC это уже коммутатор Level 3.
Поддержка. Контракты. Экосистема. Продаваны. Партнеры. Развитие. Деньги, наконец!Но для дома хватит, конечно, поделки на вечной бета-версии наколенной сборки, без гарантии как на железо (поставил на железяку левый софт - сам отказался от гарантии производителя), так и на софт (он же опен, т.е. можешь спросить на форуме, но обещаний починить быстро, да и просто починить - никто не дает; "читай код", если способен!). Только в контору такое ставить будет себе дороже.
Откаты же, наконец!
> поставил на железяку левый софт - сам отказался от гарантии производителяВ таких случаях было бы неплохо иметь возможность вернуть "поделие" производителю, если на нем есть неустраненный баг в прошивке. А то как-то однобоко, поставил нормальный софт, лишился гарантии (в соглашении это встречается, хз, насколько законно).
Я понимаю, что софт может "испортить" железо в редких случаях, но это уже больше на говняное железо похоже...
> он же опен, т.е. можешь спросить на форуме, но обещаний починить быстро, да и просто починить - никто не дает; "читай код", если способен!Расскажите ему кто-нибудь про тех же RH и Novell.
> Расскажите ему кто-нибудь про тех же RH и Novell.rh и novell не торгуют маршрутизаторами.
Ubiquiti вон торгует, но оно не open, хотя и линyпc унутре и ошметки кода где-то там в недрах сайта лежат.
Я к ним всерьез присматривался (все же, $199 за точку плюс бесплатный контроллер выглядели куда красивше $1999 за точку и десяточки за контроллер, которых нужно было два, от циски, даже с учетом возможных скидок), присматривался, присматривался... мат инженеров, обслуживавших это чудо в сетках посложнее одной ненужной точки в квартире у бабушки послушал, и решил что деньги все равно дядины, а вот геморрой потом будет мой.в зомбонетах они, если что, вполне участвуют (впрочем, как и продукты ваших любимых rh и novell)
с wifi ap были определенные успехи ;-)а так - чего ты хочешь от опеннетовской публики? Квалификация-с...
Смотри не лопни от ЧСВ.
не, ну если честно - механизм конфигурежа и "проверенная надежность" некротиков заставляют задумываться, что с openwrt было бы может и не хуже.ipsec с циской, традиционно, жил бы до первого rekeying, но оно и так не очень живет.
Да как вы только умудряетесь все это ломать?! Откуда вы лезете?!
Судя по комментариям, большинство микротики в глаза не видело и даже не представляет что это такое. :)
Коробочка со светодиодами, раздающая вайфай. Довольно хорошая, после того как накатишь openwrt)
Еще один
Как накатишь, отпишись здесь или на Хабре - твой пост будет просто Меккой для идио... маньяков!
https://wiki.openwrt.org/toh/mikrotik/start
И нет упоминания о Литве - стране производителя! Похоже на кибер-атаку...
географический кретинизм?
Да так и есть, эти руссофобы, устроили кибератаку.
Литва и Латвия - это разные страны.
Про это кино ещё не сняли, потому и знать это не обязательно.
Никто так и не спросил - а как настроть на микроте TZSP )
А чего спрашивать, когда на скрине как раз и нарисовано, как настроить TZSP xD
Штуки за тысячу: ..."Mikrotik", где "s" в названии компании обозначает security.
Вы будете смеяться, но юрлицо называется Mikrotikls SIA
Ты суслика видишь? А он есть.
ООО Микросеть, так-то...
Более 7500 - это в разы заниженная цифра
в свободном доступе десятки тысяч прокси socks4 (на порту 4145 - MikroTik)
пример https://hideip.me/ru/proxy/socks4list
Никогда прошивку не менял, но теперь точно сделаю, потому что OpenWRT - прошивка от народа.
На любом роутере доступ к интерфейсу управления устройством должен быть закрыт с мира. А хваленный OpenWRT на микротике работает через огромный костыль, что тоже ставит под сомнение ее использование на микротике, кроме фанатиков этой прошивки. Нужен OpenWRT - покупайте другой роутер.
Через костыль, это в виртуалке что-ли?
> хваленный OpenWRT на микротике работает через огромный костыль, что тоже ставит под сомнение ее использование на микротикеЭто вы про Metarouter, видимо. Огорчу вас - на все модели роутеров Mikrotik нижнего и среднего уровня можно накатить OpenWRT совершенно стандартным способом, через заливку бинарного файла прошивки, и работать она будет не в виртуалке Metarouter параллельно с основной системой, а собственно как основная система, и никаких проблем. Что абсолютно логично, тк железо в них используется абсолютно предсказуемое и на памяти не экономят. Про линейку CCR я просто не в курсе, есть ли для неё OpenWRT, но... зачем ставить OpenWRT на железку, предназначенную для работы в ядре сети серьёзного размера?
Единственное но - на "бытовых" роутерах, как правило, можно залить обратно "родную" прошивку, а в Mikrotik возникнут серьёзные трудности, тк там используются лицензии на ОС. Возможно, как-то решить эту проблему и можно, я не вникал, мне не нужно. Просто знаю, что при необходимости смогу быстро получить очень неплохую железку под OpenWRT за вполне скромные деньги, а пользоваться и не приходилось ни разу - хватало старых "бытовых" роутеров.
>> хваленный OpenWRT на микротике работает через огромный костыль, что тоже ставит под сомнение ее использование на микротике
> Это вы про Metarouter, видимо. Огорчу вас - на все модели роутеров
> Mikrotik нижнего и среднего уровня можно накатить OpenWRT совершенно стандартным способом,
> через заливку бинарного файла прошивки, и работать она будет не в
> виртуалке Metarouter параллельно с основной системой, а собственно как основная система,
> и никаких проблем.К сожалению это применимо далеко не ко всем моделям, для части как минимум среднего уровня нужно накладывать патчи для не поддерживаемого оборудования (это если повезло и их кто то за тебя их сделал) и скомпилировать и только потом пробовать с надеждой что получится. После этого обнаружится что 10% функционала не работают и нужны дополнительные патчи. Хотя возможно вы это и имели ввиду под понятием "накатить OpenWRT совершенно стандартным способом".
Повторюсь для любителей именно OpenWRT есть намного более подходящие железки.
> К сожалению это применимо далеко не ко всем моделям, для части как
> минимум среднего уровня нужно накладывать патчи для не поддерживаемого оборудованияВозможно. Я сварщик не настоящий, вижу в openwrt.org/toh оборудование - пишу что вижу, ну и знакомые так делали. Лично не прошивал, повторюсь - мне для моих надобностей под OpenWRT хватает старых "бытовых" роутеров, а Mikrotik я использую с родными прошивками.
> Повторюсь для любителей именно OpenWRT есть намного более подходящие железки.
Огласите весь список, пожалуйста? Мне правда интересно, что такое наиболее подходящее можно по-быстрому купить, если вдруг мне срочно понадобится.
> На любом роутере доступ к интерфейсу управления устройством должен быть закрыт с мира.Любитель дальней дороги при настройке?
Тебе рассказать про ssh и проброс в нем портов?
>> На любом роутере доступ к интерфейсу управления устройством должен быть закрыт с мира.
> Любитель дальней дороги при настройке?впн
>>> На любом роутере доступ к интерфейсу управления устройством должен быть закрыт с мира.
>> Любитель дальней дороги при настройке?
> впнЗачем вы так мучаетесь? Есть же port knocking. Три правила в брандмауэре - и никаких проблем.
>На любом роутере доступ к интерфейсу управления устройством должен быть закрыт с мира.Редкая птица ... ну в смысле бытовой рутик имеет отдельный порт для управления и только для него. И чтобы через другие никак. А все остальное - открыто для мира. :)
как вообще можно не обновлять прошивку?))
Пользователи D-Link'ов с заводской прошивкой и настройками по умолчанию login/password:admin/admin твой вопрос не поймут. ;)
Скорее пользователи D-Link'ов у которых производитель забил на поддержку в каком-то забытом году сразу после выхода роутера.
Мотивы разные, но в основе этих мотивов обычно лежит лень.Одним лень обновить домашний микротик.
Другим лень вместо работы, за которую платят деньги, заниматься устранением проблем, добавленных новой версией из стабильной ветки: переодически отваливающимся VPN, переименованными интерфейсами и другими тому подобными прелестями.
Почему доступ в админку на роутерах всегда по http? Там же пароль вводишь, вдруг кто перехватит? Или трафик на 192.168.1.1 не идет через внешнюю сеть?
потому что если я сделаю по https - ты сдашь роутер обратно с воплями что вместо конфигурации у тебя вылезло большое-красное-окно-полное-неведомой-хepни.спасибо за это передай гуглю с мурзилой.
Ну так а провайдер видит в трафике передаваемый логин и пароль в админку?
> Ну так а провайдер видит в трафике передаваемый логин и пароль в
> админку?ну вижу, как думаешь, он мне за каким-нибудь хреном - сдался? Я хочу его за тебя понастраивать?
а зачем, кстати, ты лазишь настраивать домашний (или конторский) некротик не из внутренней сети - я хз.
Епта, еще одна ванга. С чего ты решил что у меня некротик? Я любой роутер анстраиваю через 192.168.1.1. А как надо? Научи, как надо заходить на опенврт, раз такой умный.
Через TTL-адаптер =)
Это что за xpeнь?
UART/TTL USB-адаптер, цепляешься напрямую к борде роутера и вперёд, прямая консоль.
слушай, у нас услуга настройки личных, а не арендованных роутеров - платная.
Сегодня уже рабочий день почти кончился, завтра после девяти позвони в техподдержку - к тебе приедет чувак, который настроит как надо - тебе даже не нужно знать, как именно - денежка спишется со счета автоматически, не забудь пополнить.А разбираться, что ты там такое намудрил, что привязал интерфейс для настроек к wan-линку - мне неинтересно как хобби, и зарплату платят - тоже не за это.
Провайдер видит в локальной сети твоей квартиры передаваемый пароль и логин? Забористая трава, однако. Поделишься?
Тогда как ты объяснишь то что в Ubuntu я не могу войти в админку через 192.158.1.1, когда падает инет (всмысле сайты не открываются)? А как только восстанавливается инет, то и в админку могу зайти. WTF?
Ну в следующий раз настраивай роутер сам и не полагайся на криворуких "техников".
наоборот жеж - очевидно что это он "сам" так и настроил.
Какие б у нас техники не были криворукие - методичку им писал нормальный инженер, и они ей старательно подтир....пользуются при настройке, не включая мозг, к счастью для всех окружающих. Максимальный ущерб - если на кошку вашу наступят.(и нет, они не собираются красть у вас пароли от вконтактика и вашу порнуху им тоже не надо - у них в комнате отдыха безлимитный интернет на гигабитном порту, причем роспозору неподвластный - так что порно они и поинтересней видали. Наличные бабки не раскидывайте по комнате, и жратву от клавиатуры уберите к их приходу.)
Бред говоришь. Залил прошивку OpenWrt. Из настроек выбрал PPPOE, ввел логин и пароль. Все.
> Тогда как ты объяснишь то что в Ubuntu я не могу войти
> в админку через 192.158.1.1, когда падает инет (всмысле сайты не открываются)?192.168.x.x xD
> А как только восстанавливается инет, то и в админку могу зайти.
> WTF?Э, батенька, да у вас -палец- коммутатор сломан.
Или сетевая. Или вообще с кабелем проблемы.
> Почему доступ в админку на роутерах всегда по httpПотому, что купив один роутер и поковыряв его прошивку, хакер получит закрытый ключ от всех роутеров этой модели. Или этого производителя. Если ты опасаешься, что во внутренней сети скомпрометированный хост снифает трафик и вылавливает пароли, то использование https лишь добавит злодеям немножко дополнительных телодвижений.
Заморачиваться с оформлением сертификата промежуточного CA, чтобы им подписывать отдельный сертификат для каждого устройства, производители роутеров за $20 едва ли будут.
>> Почему доступ в админку на роутерах всегда по http
> Потому, что купив один роутер и поковыряв его прошивку, хакер получит закрытый
> ключ от всех роутеров этой модели. Или этого производителя. Если тыборцунство гуглезилы за тотальное шифрование всего чего не нужно (под строгим, но добрым приглядом товарищмайора, с которым сотрудничает единственно-верный CA) принесло плоды. Теперь там где нужно - не шифруется, потому что ни один нормальный пользователь не продерется через БОЛЬШУЮ-КРАСНУЮ-страницу, полную неведомой херни, и вернет роутер с такой фичей в магазин со словами "у вас в нем вирусы".
лет десять назад каждый купленный 20долларовый обмылок шел с self-signed сертом. Сейчас у большинства вообще ssl оторвали, за ненадобностью и вечными багами уровня heartbleed, остался только у корпоративных железок заподорого.
Ибо морочиться с фичей, которую смогут использовать пол-процента пользователей, производителю нафиг не нужно.
Осилить шифрование парольной формы на стороне пользователя до ее отправки - слишком сложно для двадцатидолларовых китайских "инженеров" (которые тоже живут с промытым мозгом, и других вариантов кроме ssl не видят).> Заморачиваться с оформлением сертификата промежуточного CA, чтобы им подписывать отдельный
> сертификат для каждого устройства, производители роутеров за $20 едва ли будут.ключ и, соответственно, подписываемый этим ca csr нужен отдельный для каждого устройства - или его рано или поздно сопрут. тот еще геморрой. Причем единственно-верный CA, узнав об этом, наверняка внесет (без твоего желания) твой IM в черный список, эффективно превратив в тыкву все проданные и уже настроенные устройства, отключить ocsp типовой юзер опять же не сможет.
И учти еще, что браузеры разучились корректно работать с сертификатами выданными на ip, а не hostname.дивный новый мир, в котором правила диктуют полоумные индусы из гуглезилы :-(
MikrotikOS 6.42.7 - взломали, так что уязвимость не устранена
> MikrotikOS 6.42.7 - взломали, так что уязвимость не устраненаПруф или слился.
Пребывай дальше в блаженном неведении
Как про эксплуатировать данную уязвимость? Есть роутер с такой прошивкой, никто не знает пароль от админа.
https://github.com/BasuCert/WinboxPoC
питончик...
баганутый пос, но пароли тащит
Микротики для просветлённых гуру выхватывают так, как не выхватывают наверное и всякие *-link'и :)
Просветление и св-да требуют жертв.
Интересно, сколько Зикселей или Асус-ВРТ вовлечены там куда-то? :)
> Микротики для просветлённых гуру выхватывают так, как не выхватывают наверное и всякие
> *-link'и :)Это потому, что гуру не настоящие. Под моей ответственностью ни один не взломали - у меня маршрутизаторы защищены не только наивной надеждой на отсутствие дырок в интерфейсе управления. Впрочем, прошивки я им тоже сразу обновил xD
> Интересно, сколько Зикселей или Асус-ВРТ вовлечены там куда-то? :)
Сколько-то точно есть, если интересно, поищите по ключевому слову VPNFilter - какие маршрутизаторы он только не заражает. И SSL, кстати, стрипать он вполне умеет, не то что обсуждаемый примитив.
у них процы гуано и памяти три мега, нафига они мне нужны?
Ну как же... Мегагерц к мегагерцу, мегабайт к мегабайту... С мира по flops'у - голодранцу монеро.
ШТА!?
А зачем этото винбокс вообще?
я его сразу выключаю....
Что в нем есть такое, чего нет в веморде?А его ктото в инет выставил со стандартным номером?
И думал что не ломанут? Молодцы.
Или уязвимость не так эксплуатируется?
Winbox - это вендовая приблуда для нелюбящих конфигурить через браузер. Надо отметить, работает быстрее, чем если через веб-морду. Через веб-морду конфигурить Микротики - это вообще отдельное извращение: постоянно замерзает, непонятно применились настройки или нет, потому что страницу пытается обновить, а не может. Кагоче Мигротики - это сила. У кого нервы железные.
есть у меня несколько микротиков, в том числе дома
ничего както не не "замерзает". конфигурируется все через web
потому как нет у меня виндывот отката и сохранения конфигурации нормальных нет - это да.... пичалька.
> конфигурируется все через web
> потому как нет у меня виндыTikApp. Андроид. Всё время пользуюсь, тк по ssh с 5" экрана неудобно, а из приложения вполне неплохо.
> вот отката и сохранения конфигурации нормальных нет - это да.... пичалька.
В смысле нету? Откат (в случае нештатного прерывания управляющего соединения) - это Safe Mode. Не знаю, какой он должен быть нормальный, уж какой есть.
Сохранение конфигурации - Files / Backup. Можно много раз сохранять, файлы будут с разными именами. Если хотите сохранить конфигурацию в чисто текстовом виде и подумать над ней - сделайте /export из ssh. Вот честно, не знаю, чего ещё хотеть от роутера...
Backup это когда если железка сгорела, взял новую , залил и работает. У микротика так не выходит. Он не сохраняет в бэкап сертификаты, или сохраняет макадреса,или
еняет имена интерфейсов.. Вобщемм неполучается ни в текстовом ни в нетекстовом виде без изменений залить чтобы работало.Откат хорош в циске - перегрузил железку до записи конфига ( а можно поставить таймер она сама перегрузится) и все. Если удаленно накосячил то все вернется. У микротика всякое изменение записывается сразу. Если накосячил - все, пиши пропало. Перезагрузка на помогает.
Возможно я чегото не знаю. Сертификатов микротика не полкчал.
Феерические эти Шмикротики. Заменил в настройках этого чуда DNS провайдера на 8.8.8.8 (или 1.1.1.1 - не суть важно). После применения настроек - в веб-морду не зайти. Ай да Шмикротики... Зато продолжает работать! Вещь!
Настройки изменил ты. Работать перестало из-за этих изменений у тебя. А виноват Microtik.
При этом у других, например у меня, смена DNS провайдера в Microtik никак не влияла на доступность вебморды. Я вообще слабо представляю как это связано, разве что ты на вебморду ломишься по домену, а не ip.
> Настройки изменил ты. Работать перестало из-за этих изменений у тебя. А виноват
> Microtik.
> При этом у других, например у меня, смена DNS провайдера в Microtik
> никак не влияла на доступность вебморды. Я вообще слабо представляю как
> это связано, разве что ты на вебморду ломишься по домену, а
> не ip.Ну же, иди пофапай на свой Шмикротик. Элементарно любому понятно, что смена DNS не должна никак влиять на корректность работы устройства. Но только не в случае шмикротика твоего любимого!
>> Настройки изменил ты. Работать перестало из-за этих изменений у тебя. А виноват
>> Microtik.
> Ну же, иди пофапай на свой Шмикротик. Элементарно любому понятно, что смена
> DNS не должна никак влиять на корректность работы устройства. Но только
> не в случае шмикротика твоего любимого!Это у вас руки xD и голова. И вообще ошибка - в ДНК.
Зря бодаетесь. Я думаю чел менял днс на страничке быстрой конфигурации. Что приводит к непонятным последствиям если до этого микротик настраивали иным способом. Это фича такая фирменная :)
>>> Настройки изменил ты. Работать перестало из-за этих изменений у тебя. А виноват
>>> Microtik.
>> Ну же, иди пофапай на свой Шмикротик. Элементарно любому понятно, что смена
>> DNS не должна никак влиять на корректность работы устройства. Но только
>> не в случае шмикротика твоего любимого!
> Это у вас руки xD и голова. И вообще ошибка - в
> ДНК.Ну я понял сразу, что у тебя они атрофированы изначально.