NOVO ATAQUE AO MIKROTIK (SYSADMINPXY)

Sofri o ataque professor e tbm estava com a versao mais antiga. Pra colaborar tbm com seu video professor, foi criado um user no mikrotik chamado, ftptaltal (so lembro q era ftp) ai exclui os usuarios , atualizei e depoiis sai deletando as configuraçoes... Voltou ao normal o acesso logo após... Parabens Professor @WissamQuemuel pelo video!

Estava com a versão antiga mas só ontem recebi e-mail da Mikrotik solicitando atualização. E hoje cedo recebi telefonema da empresa que fornece nosso link pedindo a mesma coisa mas achei q eu estava "limpo". Como sempre fico com winbox ativo, de repente no address list começaram a pipocar endereços estranhos sem eu ter inserido nada. Abri o log no terminal e dezenas de tentativas de acesso. Fui analisar com mais "carinho" e achei o sysadminpxy. O vídeo ajudou muito, no meu caso tinham 5 scripts além desse do vídeo e seus schedules tbem. No "files" mais de 10 arquivos e pastas. O primeiro ataque provavelmente foi dia 1º deste mês e o outro hoje cedo. Valeu.

Como sempre parabéns pelo vídeo e pelo compromisso que tem tido com os seus seguidores. Obrigado.

Fui atacado, e só identifiquei a invasão pq comecei a assistir o vídeo e resolvi conferir a RB por curiosidade, pois estou de férias.
Não tinha nada no LOG sobre os downloads do "mikrotik.php", mas os scripts estava criados, e várias regras do firewall estavam desabilitadas.
Obrigado por mais um ótimo vídeo.

fui atacado, que removeu todos os usuarios air nao supeitei muito, mais recebir o seu video mim edentifiquei com o problema fui conferir as configuraçoes vi que ainda estava com ataque na minha rb, assim entao comecei a remover as configuraçoes do ataque e atualizar minha rb, obirgado desde ja muito bom o video.

Ótimo vídeo, tive um ataque desses no ptp RB 922, até descobrir, perdi duas noite de sono. As RBS com processamentos muito alto e o link caindo

Boa noite, sofri esse ataque, de acordo com suas dicas consegui identificar e solucionar, apenas um detalhe que não estou acertando resolver. Não acessa mais pelo IP, somente pelo MAC

Cara meu firewall tinha muitas regras e redirecionamento, tinha um script e aquele arquivo mikrotik php, mas usuário não tinha nenhuma senha aí fiz como manda o figurino apaguei tudo que não tinha feito atualizei pra última versão alterei a senha e tudo certo. Grande abraço Wissam Quemel, muito valioso seus vídeos parabéns.

No meu caso, algumas RBs foram atacadas, e parou apenas o hotspots, eu nem sabia que aquelas regras era de ataque, eu desabilitei e voltou a funcionar, fiquei sabendo agora através deste video que se trata de um ataque, meus agradecimentos.

Graças a seus vídeos, minha RB já estava há algum tempo imune a este tipo de ataque! Aproveitando, gostaria de sugerir um vídeo sobre QOS, para que possamos priorizar corretamente o tráfego, além de um vídeo sobre controle de banda (seja por porta, por IP, por MAC, sessão PPPOE etc), incluindo a garantia de banda, que acredito serem os temas nos quais o pessoal mais tem dúvidas. E para encerrar, parabéns por mais este excelente vídeo!

Atacaram uma RB750 e encontrei o mesmo usuário criado. O consumo da RB (por ser mais fraquinha) ficou cravado em 100%.
Além do usuário, criaram um grupo também com o nome hftpgroup (algo parecido com isso)
Parabéns pelo vídeo!

também sofri o ataque, clientes aleatorios caindo, clientes reclamando, quando fui olhar tava assim tbm, mais agora esta tudo normal

PARABENS!!!!!! SOFRI UM ATAQUE EM 3 CCR versao 6.40 já resolvi obrigado pela dica

Parabens Wissan Video é 10 ! Continue contribuindo com a gente ! Grade Abraço !

Parabéns demais pelo vídeo, ótima explicação

boa tarde , Wissam estava cedo atacado e nem sabia , descobri depois desse vidio obrigado

Vlw grande Mestre pelas informações! Vc é top de mais!

ótimo vídeo mestre...
a minha estava atualizada...continue assim..!!!

Ola Wissam bom dia !! Tbm fui atacado, mais o ataque aconteceu dias depois que eu atualizei para a versão 6.40.8 Bugfix. No meu caso só foi criado o script, scheduler e o arquivo na pasta "file", a minha senha estava bem fraca tbm. Para solucionar mudei login e senha e fechei vários serviços que eu não uso e mudei a porta de acesso "www". Ate agora esta tudo ok. Vou continuar observando. Valeu pelas dicas!!

Winsan Maravilhas de vídeo parabéns nos ajuda muito com esse material. Gostaria de te fazer uma pergunta sobre atualização das novas versões da RB, é que eu utilizo o recurso, Master port, aba interface e a mikrotik retirou este recurso, gostaria de saber como reativar Master Port a qual utilizava as configurações de portas da interface, separadamente. Desde já agradeço muito se poder nos ajudar Obrigado.

tive um problema desse, alem de atualizar a RB eu reconfigurei ela e bloquiei todo o acesso externo tanto via winbox como api... e mudei o usuário e senha , outra dica não usem cache HTTP e nem HTTPS.

Valeu Kemel, Obrigado !!!!

Wissan parabéns pelo Vídeo. Estou com Mikrotik RB 2011 Uias-2HnD atualizado V7 quando ativo ipv6 o link de 600 Megas cai pela metade. Já no IPV4 funciona normal. tem alguma dica ?

Já tem 3 dias que estou tendo ataque de DDos, 6 pessoas já mexeram no meu BGP e ninguém consegue bloquear

Karamba você ta apostando video agora todos os dias eu acho muito bom...

Wissam ótimo vídeo, basicamente tudo que você falou aconteceu aqui nas minhas rbs.

Fui atacado também, mas a RB tava atualizada... No mínimo na 6.43 stable tava de certeza se não mais atualizada pois faço isso com alguma frequência.
E tive esse mesmo problema, embora o script pelo que lembre fosse diferente mas apaguei tão rápido quando pude para restaurar a rede que nem lembrei de pegar as informações.
Como precaução máxima tirei o acesso direto via rede externa a RB, estou pensando seriamente em retirar as soluções baseadas em RouterOS da minha rede, esse tipos de coisa é inaceitável.

Já sou teu fã continuei sempre assim quer deus te proteja mano muito bom parabéns

PARABENS!!!!!! melhores videos

Opa. Boas dicas! Parabéns pelo canal.

Por favor, faça um video sobre MPLS

Nesse ataque percebi q toda e qualquer regras de drop no filter é desativada e todas as demais são mantidas.

Boa noite amigo estou tendo problema com invasão também você tem como me ajudar por favor

Olá Wissam! Parabéns pelo canal. Ainda ontem vi seu vídeo e hoje percebi que fui atacado. Fiz conforme sua sugestão mas ao atualizar uma omnitik a mesma travou. Só ressetando default. Peguei uma nova omnitik e ao restaurar o backup o problema aconteceu com a nova (na caixa). Ao dar boot ela demora mais que de costume; o vírus ainda está ativo. "Dei mole" ao restaurar backup com winbox antigo.
Ressetei a omnitik de maneira a utilizar o netinstall e reinstalei a versão mais recente. Resolvido.
Obrigado.

na empresa que eu trabalho estava em ip firewall uma regra criada para SYSADMINPXY
em systen Scheduler tinha mais 3 regras criadas
em System user tinha um usuario criado
em System ainda no usuario local axistia 5 endereços de ip apontados para o usuario ja criado para o meu acesso.
existia 5 tipos de dns criados tbm .
Removi via mactelnet pois nao tinha acesso a rb e depois atualizei , troquei as senhas e usuarios e todos estao com porta para acesso tbm.

Ola amigo, verifiquei uma coisa que não reparei você comenta. Em teste meu aqui ele tentou confgurar o script sem sucesso, porque meu SMB tava desativado. Tentou a primeira etapa mas não fez nada por conta do SMB inativo.

Diga, que não tive usando cloud desative tbm, notei que mesmo não ativando ela tava ativo em 7 RB/CCR que peguei com isso.

acatei tuas recomendações porem estou sofrendo ataque acesso em direção ao monitoramento porta dude como posso protejer

Lá em IP Cloud também rolou um host lá que responde, tem que retirar também 👊👊

Fui atacado hj por esse mesmo. O problema é que ele criou um usuário full para ele e rebaixou o meu. Agora eu não sei como remover o dele. Tem alguma dica amigo?

Boa tarde professor tive um ataque em uma antena de um ponto a ponto microtick LHG XL 5 AC
FICA REBOOTANDO direto ja resetei pelo NETINSTALL coloquei a versao 6.42 e ainda continua router was rebooted without proper shutdown
kernel failure in previous boot essa mensagen

Olá Wissam, amigo se for possível faz um vídeo sobre htb com garantia mínima de banda ficaria muito agradecido.

Parabéns pelo Vídeo! uma pergunta: Você tem algum vídeo que fale sobre regras básicas de firewall que todo mikrotik tem que ter ?

Olá, Wissam. Parebéns pelos videos, são de muita ajuda pra quem usa Mikrotik. Eu tenho alguns clientes de uma separação de sociedade onde o outro rapaz é quem configurava tudo. Estou tendo que me virar pra manter a navegação e estou devorando tudo que encontro sobre. Já deixei o e-mail para ser avisado do seu curso pois quero fazer.
Seguinte: Como faço para usar o dude na minha rede onde os clientes autenticam por pppoe e seus ips pegam ip dinamico? Já quebrei a cabeça aqui e não consigo. Abraço

wissam aconteseu isso hj pela manha de repente a CCR reiniciou e começou esse log estranho sem parar vendo o video agora vi la no scrept q tinha criado com meu nome e o acesso a CCR ñ tem meu nome achei estranho e excluir agora vou serguri seus passos e atualizar

Então amigos.
Para adiantar minha história.
Tive este vírus alguns meses atrás,fiz o procedimento e resolvi de boa.
Isso aconteceu em agosto e fiquei até início deste mês sem dar problemas.
Porém voltou dar problema com o virus js:infectedmikrotik-b trj.Já olhei tudo nos meus equipamentos e não achei nada.Eu recebo um /28(ips válidos),mas eu agora acho que o problema está em minha operadora.
Meu conhecimento em rede é intermediário e já chequei tudo mesmo até o que sei.
Não mais o que fazer.

ajudei um amigo meu a resolver isso. tenso. ainda bem que mantenho sempre atualizado meus mk e ubkt.

Doutor o ataque aqui foi feio eles mudaram login de acesso tive que resetar a Mikrotik. Agora bloquei varias portas do firewall e de serviço mais o ataque de ssh, telnet e outras portas continua varios ip de varias parte do mundo existe muitas portas vuneraveis eles fica atacado ate conseguir entrar com ipv6 vai ser pior pois o firewall vai ter cenas garantidas no palco

fui atacado tambem alem de todos citados aqui achei tambem em user na aba groups um usuario chamado FTPGROUPS

Olá senhor Wissam seria possível fazer um vídeo de como implementar o cgnat no mikrotik em uma rede roteada com OSPF, outra coisa você deveria fazer um patreon no qual os usuários do seu canal poderia fazer doações para você bom desde já fico grato com sua atenção

Boa Noite,eu tenho fibra de 300 , mas quando eu configuro modem em bridge e mk 750gr3 em ppoe,so chega 130 . O que pode ser ,me de uma luz por favor

o nome da rb é alterado para "test"

um detalhe la em system user na aba active users fica 2 usuarios o seu e o rack

opa meu querido peguei este ataque tambem ,,,, hehehe webproxy ,,, beleza !

Boa tarde professor gostaria muito que você fizesse um vídeo mikrotik com mk-auth deixando rodando tudo certinho por gentileza Desde já agradeço

Tambem e criado um interface de vpn em ppp - interfaces

IP DNS também foi alterado tive alguns casos, principalmente em hap lite RB941-2nD, ip Dns fora alterados para 172.98.194.30 ou 199.43.199.45

NO scheduler tinha 2 configurações criadas eu ja tinha desativado o serviço telnet e o ssh e outros

Sofremos um ataque também eles adicionam um usuário mesmo FTP.... E em grupos é adicionado um grupo FTP....

Por favor faça um vídeo explicando sobre a função Web Proxy pra quer server como funciona. Obrigado

Wissam, olha o que encontrei:
/ip socks access
add src-address=5.188.0.0/15
add src-address=192.243.0.0/16
add src-address=5.9.0.0/16
add src-address=5.104.0.0/16
add action=deny src-address=0.0.0.0/0
Estou errado, ou meu roteador estava sendo usado para atacar outras rede com um proxy socks?

Agora que sofro na mao dos hackers eu me arrependo de ter sido um la pelos idos de 1998 qdo invadia win98 pelo netbios .kk Valeu pelo aviso

Até hoje vejo nos logs as tentativas... Já fui atacado por eles.

ele tambem cria um acesso no radius vindo do ip 47.75.230.175

faz um video com configurar o ospf e o como fazer um balance com 2 ou mais links de internet

ola aqui ser eu rest da para revolver todas alteração

Wissam os arquivos que possibilitam esse ataque foram publicados, se você não tiver, eu tenho eles aqui.

Tive vários ataques (RB1100, RB750, RB3011), porem o ataque não fez nenhum dano. Alguns cliente me reclamaram de lentidão, mas não consegui constatar isso.

olá tudo bom em seu curso vamos apreender configurar ipv6

Nice!

Parceiro uma dúvida por que em umas RB tem essa invasão de microtic e em outras não aconteceu !!! mesmo não estando atualizada!!!

Olá amigo boa noite estou com um problema na minha RB x86 que os ppoe cai toda hora ja verifiquei toda a rede externa e hoje eu vi um Ip de foa que se conectou com minha RB

Boa noite, estou tendo problema sérios com Wi-Fi no mikrotik, todos os dispositivos desconectam e reconectam constantemente, no ligar da disassocied, sabe me dizer o que pode ser, já estou até desanimado com o mikrotik por causa disso

>>> URGENTE > Em script>job apareceu dois arquivos
>>> Em scheduler tudo vazio
>>> ja olhei os usuarios e tudo ok

Bom dia! Uso hotsport, nessa 4 semanas em alguns roteadores de clientes, eles faz login pelo hotspot menos de um minuto ele cai aí ele tem que longar de novo mas torna cair , e se repete o dia todo. Será que pode ser um ataque?

Boa .....

A minha RB 750Gr3 teve a senha do admin mudada, tive que fazer o reset. Em relação às instruções que você passou Wissam, eu chequei script, scheduler, firewall/nat e files e não tem nada, o web proxy e socks não tão enable, mas no new terminal sempre aparece a msg "DEVICE HACKED - ACCOUNT admin HAD UNSAFE PASSWORD" antes do prompt." e o comando setup sumiu.

boa tarde amigo, como fazer para configurar a pppoe para que o usuario nao conecte em varios roteadores?

Boa Noite Wissam, fui atacado pelo Sysadminpxy, porém, tento atualizar o firmware e não aceita, (CCR1009), minha versão é a 6.32.3, já tentei até com a 6.32.4 a RB não aceita os pacotes e quando reinicia continua na mesma! Será que o vírus danificou o kernel do sistema, haja vista que estou tendo erros de kernel no log?

o certo e mudar a porta do winbox e desabilitar servi;os n utilizados

Mudaram o meu DNS e colocaram 5 diferentes

boa tarde minha versao e current posso atualizar ela para bugfix only ou melhor mater o mesmo canal de current ?

Da uma dica pra quem tem mais de 3 mil RBs na rede, será que tem alguma forma de fazer o reset da RB e deixar um script pra rodar assim que ela iniciar ?

Boa noite gostaria de tirar uma dúvida sobre balance tem algum problema de vc pegar uma rb e fazer um balance com 2 link dedicado e 2 Adsl ou seria melhor eu separar os link Adsl pra uma rb e dedicado pra outra rb por que o cara falou que dar problema o link Adsl com dedicado por conta do upload do dedicado ser maior que o Adsl desde seus vídeos são ótimos e tá me ajudando muito

Sempre quis saber como funciona o burst time no mikrotik o queue tree trabalha junto do pppoe server? Ou é um controle diferente do outro?

Quem foi atacado mais não perdeu acesso a seus roteadores, consegue identificar o usuário e senha que o vírus cria?

Professor , depois que atualizei minha RB3011 atual (6.40.8 (bugfix) )apareceu agora uma mensagem de vez enquando informando
system,info item removed
system,info item removed
system,info item add
system,info item add
só que não tem informação no log que alguem possa ter logado !
Seria normal ?

como vai ser este curso ?? online ??? ou presencial ? e se presencial em que cidade wissam ?

bom dia professor! depois que minha rb sofreu ataque não aparece mais nada no status de log somente quem faz poe ,alguem esta com este problema?

Great video.. but pls.. in English!

Depois desse ataque na minha Rb EU não consigo mas entra pelo winbox usando o Ip somente pelo mac

Complementando,nao gosto do modo como mikrotik gerencia os scripts,as senhas e dados de email,ddns ficam todos expostos ,o cara entrar numa das minhas RBs vai ter acesso a minha conta dyndns no qual tenho 120 clientes ,deveriam encriptar os dados ,outra coisa que poderiam mudar é uma opção de colocar um papel de parede no fundo da RB ,nao raro me pego mudando coisas nas RBs erradas pq abro varias ao mesmo tempo para copiar coisas.

Vir muitos com 3011 sendo atacado

o problema dessa versão nova da mk é que o netwatch parou de funcionar

Eu tenho uma ccr 1009 com firmware v6.40.4 esta vulnerável a esse virus/hacker?

fui atacado
resolvi atualizando a versão

Boa tarde também podem verificar em Packet Sniffer que esta com um endereço ativo 125.212.228.198

I closed the vulnerability with a firewall. Please update RouterOS. You can O terminal ta com essa mensagem

apareceu nos meus clientes ppoe .. o usuario vpn .. seria um virus ?

Aqui o script desativou tbm todas as regras no firewall