NOVO ATAQUE AO MIKROTIK (SYSADMINPXY)
HTML-код
- Опубликовано: 12 сен 2024
- Na última semana foi identificado um novo ataque ao Mikrotik que busca captar o tráfego que passa pelo seu roteador. Veja por qual vulnerabilidade esse ataque ocorreu, o que exatamente ele configura no seu roteador, e como você pode fazer para se proteger!
Vulnerabilidade Winbox: bit.ly/2A9cVuI
Como se proteger em 3 passos: bit.ly/2Ad07DX
Como fazer export (backup): bit.ly/2IjFQfU
Entre no meu Telegram: t.me/wissamquemel
Facebook: / wissamquemeloficial
Instagram: / wissamquemel
Email: contato@telequemel.com.br
Sofri o ataque professor e tbm estava com a versao mais antiga. Pra colaborar tbm com seu video professor, foi criado um user no mikrotik chamado, ftptaltal (so lembro q era ftp) ai exclui os usuarios , atualizei e depoiis sai deletando as configuraçoes... Voltou ao normal o acesso logo após... Parabens Professor @WissamQuemuel pelo video!
Rodolfo Pereira nas minhas foi criado o mesmo usuário.
Tem alguma maneira de conseguir acessar o roteador depois do ataque sem reset? O meu mudou todas as senhas de acesso
Show, valeu pela adição!
@@evanildomedeiros489 Se o ataque mudou o usuário e senha, realmente fica mais complicado
Estava com a versão antiga mas só ontem recebi e-mail da Mikrotik solicitando atualização. E hoje cedo recebi telefonema da empresa que fornece nosso link pedindo a mesma coisa mas achei q eu estava "limpo". Como sempre fico com winbox ativo, de repente no address list começaram a pipocar endereços estranhos sem eu ter inserido nada. Abri o log no terminal e dezenas de tentativas de acesso. Fui analisar com mais "carinho" e achei o sysadminpxy. O vídeo ajudou muito, no meu caso tinham 5 scripts além desse do vídeo e seus schedules tbem. No "files" mais de 10 arquivos e pastas. O primeiro ataque provavelmente foi dia 1º deste mês e o outro hoje cedo. Valeu.
Como sempre parabéns pelo vídeo e pelo compromisso que tem tido com os seus seguidores. Obrigado.
Fui atacado, e só identifiquei a invasão pq comecei a assistir o vídeo e resolvi conferir a RB por curiosidade, pois estou de férias.
Não tinha nada no LOG sobre os downloads do "mikrotik.php", mas os scripts estava criados, e várias regras do firewall estavam desabilitadas.
Obrigado por mais um ótimo vídeo.
fui atacado, que removeu todos os usuarios air nao supeitei muito, mais recebir o seu video mim edentifiquei com o problema fui conferir as configuraçoes vi que ainda estava com ataque na minha rb, assim entao comecei a remover as configuraçoes do ataque e atualizar minha rb, obirgado desde ja muito bom o video.
Ótimo vídeo, tive um ataque desses no ptp RB 922, até descobrir, perdi duas noite de sono. As RBS com processamentos muito alto e o link caindo
Boa noite, sofri esse ataque, de acordo com suas dicas consegui identificar e solucionar, apenas um detalhe que não estou acertando resolver. Não acessa mais pelo IP, somente pelo MAC
Cara meu firewall tinha muitas regras e redirecionamento, tinha um script e aquele arquivo mikrotik php, mas usuário não tinha nenhuma senha aí fiz como manda o figurino apaguei tudo que não tinha feito atualizei pra última versão alterei a senha e tudo certo. Grande abraço Wissam Quemel, muito valioso seus vídeos parabéns.
No meu caso, algumas RBs foram atacadas, e parou apenas o hotspots, eu nem sabia que aquelas regras era de ataque, eu desabilitei e voltou a funcionar, fiquei sabendo agora através deste video que se trata de um ataque, meus agradecimentos.
Graças a seus vídeos, minha RB já estava há algum tempo imune a este tipo de ataque! Aproveitando, gostaria de sugerir um vídeo sobre QOS, para que possamos priorizar corretamente o tráfego, além de um vídeo sobre controle de banda (seja por porta, por IP, por MAC, sessão PPPOE etc), incluindo a garantia de banda, que acredito serem os temas nos quais o pessoal mais tem dúvidas. E para encerrar, parabéns por mais este excelente vídeo!
Show, muito obrigado!
Só de poder dormir tranquilo que não vai acontecer esse tipo de ataque vale a pena os pequenos passos.
Está na minha lista de sugestões esses temas sim!
Atacaram uma RB750 e encontrei o mesmo usuário criado. O consumo da RB (por ser mais fraquinha) ficou cravado em 100%.
Além do usuário, criaram um grupo também com o nome hftpgroup (algo parecido com isso)
Parabéns pelo vídeo!
também sofri o ataque, clientes aleatorios caindo, clientes reclamando, quando fui olhar tava assim tbm, mais agora esta tudo normal
PARABENS!!!!!! SOFRI UM ATAQUE EM 3 CCR versao 6.40 já resolvi obrigado pela dica
Parabens Wissan Video é 10 ! Continue contribuindo com a gente ! Grade Abraço !
Parabéns demais pelo vídeo, ótima explicação
boa tarde , Wissam estava cedo atacado e nem sabia , descobri depois desse vidio obrigado
Vlw grande Mestre pelas informações! Vc é top de mais!
ótimo vídeo mestre...
a minha estava atualizada...continue assim..!!!
Ola Wissam bom dia !! Tbm fui atacado, mais o ataque aconteceu dias depois que eu atualizei para a versão 6.40.8 Bugfix. No meu caso só foi criado o script, scheduler e o arquivo na pasta "file", a minha senha estava bem fraca tbm. Para solucionar mudei login e senha e fechei vários serviços que eu não uso e mudei a porta de acesso "www". Ate agora esta tudo ok. Vou continuar observando. Valeu pelas dicas!!
Winsan Maravilhas de vídeo parabéns nos ajuda muito com esse material. Gostaria de te fazer uma pergunta sobre atualização das novas versões da RB, é que eu utilizo o recurso, Master port, aba interface e a mikrotik retirou este recurso, gostaria de saber como reativar Master Port a qual utilizava as configurações de portas da interface, separadamente. Desde já agradeço muito se poder nos ajudar Obrigado.
tive um problema desse, alem de atualizar a RB eu reconfigurei ela e bloquiei todo o acesso externo tanto via winbox como api... e mudei o usuário e senha , outra dica não usem cache HTTP e nem HTTPS.
Valeu Kemel, Obrigado !!!!
Wissan parabéns pelo Vídeo. Estou com Mikrotik RB 2011 Uias-2HnD atualizado V7 quando ativo ipv6 o link de 600 Megas cai pela metade. Já no IPV4 funciona normal. tem alguma dica ?
Já tem 3 dias que estou tendo ataque de DDos, 6 pessoas já mexeram no meu BGP e ninguém consegue bloquear
Karamba você ta apostando video agora todos os dias eu acho muito bom...
Parei mas to voltando!
Wissam ótimo vídeo, basicamente tudo que você falou aconteceu aqui nas minhas rbs.
Erio Jackson vexii maria nao quero q aconteça isso comigo
Fui atacado também, mas a RB tava atualizada... No mínimo na 6.43 stable tava de certeza se não mais atualizada pois faço isso com alguma frequência.
E tive esse mesmo problema, embora o script pelo que lembre fosse diferente mas apaguei tão rápido quando pude para restaurar a rede que nem lembrei de pegar as informações.
Como precaução máxima tirei o acesso direto via rede externa a RB, estou pensando seriamente em retirar as soluções baseadas em RouterOS da minha rede, esse tipos de coisa é inaceitável.
Já sou teu fã continuei sempre assim quer deus te proteja mano muito bom parabéns
PARABENS!!!!!! melhores videos
Opa. Boas dicas! Parabéns pelo canal.
Por favor, faça um video sobre MPLS
Ane córneo no meu canal tem um lab legal
Também é outro tópico que está na minha lista de sugestões!
Nesse ataque percebi q toda e qualquer regras de drop no filter é desativada e todas as demais são mantidas.
Boa noite amigo estou tendo problema com invasão também você tem como me ajudar por favor
Olá Wissam! Parabéns pelo canal. Ainda ontem vi seu vídeo e hoje percebi que fui atacado. Fiz conforme sua sugestão mas ao atualizar uma omnitik a mesma travou. Só ressetando default. Peguei uma nova omnitik e ao restaurar o backup o problema aconteceu com a nova (na caixa). Ao dar boot ela demora mais que de costume; o vírus ainda está ativo. "Dei mole" ao restaurar backup com winbox antigo.
Ressetei a omnitik de maneira a utilizar o netinstall e reinstalei a versão mais recente. Resolvido.
Obrigado.
na empresa que eu trabalho estava em ip firewall uma regra criada para SYSADMINPXY
em systen Scheduler tinha mais 3 regras criadas
em System user tinha um usuario criado
em System ainda no usuario local axistia 5 endereços de ip apontados para o usuario ja criado para o meu acesso.
existia 5 tipos de dns criados tbm .
Removi via mactelnet pois nao tinha acesso a rb e depois atualizei , troquei as senhas e usuarios e todos estao com porta para acesso tbm.
Ola amigo, verifiquei uma coisa que não reparei você comenta. Em teste meu aqui ele tentou confgurar o script sem sucesso, porque meu SMB tava desativado. Tentou a primeira etapa mas não fez nada por conta do SMB inativo.
Diga, que não tive usando cloud desative tbm, notei que mesmo não ativando ela tava ativo em 7 RB/CCR que peguei com isso.
acatei tuas recomendações porem estou sofrendo ataque acesso em direção ao monitoramento porta dude como posso protejer
Lá em IP Cloud também rolou um host lá que responde, tem que retirar também 👊👊
Fui atacado hj por esse mesmo. O problema é que ele criou um usuário full para ele e rebaixou o meu. Agora eu não sei como remover o dele. Tem alguma dica amigo?
Boa tarde professor tive um ataque em uma antena de um ponto a ponto microtick LHG XL 5 AC
FICA REBOOTANDO direto ja resetei pelo NETINSTALL coloquei a versao 6.42 e ainda continua router was rebooted without proper shutdown
kernel failure in previous boot essa mensagen
Olá Wissam, amigo se for possível faz um vídeo sobre htb com garantia mínima de banda ficaria muito agradecido.
Está na minha lista de sugestões também!
Parabéns pelo Vídeo! uma pergunta: Você tem algum vídeo que fale sobre regras básicas de firewall que todo mikrotik tem que ter ?
Não tenho ainda, apenas o mínimo que você precisa ter, mas não chega a englobar o firewall
Olá, Wissam. Parebéns pelos videos, são de muita ajuda pra quem usa Mikrotik. Eu tenho alguns clientes de uma separação de sociedade onde o outro rapaz é quem configurava tudo. Estou tendo que me virar pra manter a navegação e estou devorando tudo que encontro sobre. Já deixei o e-mail para ser avisado do seu curso pois quero fazer.
Seguinte: Como faço para usar o dude na minha rede onde os clientes autenticam por pppoe e seus ips pegam ip dinamico? Já quebrei a cabeça aqui e não consigo. Abraço
Opa Hudson, muito obrigado!
Esse caso do PPPoE é complicado mesmo, porque pela interface, ela vai sair e voltar com frequência. O que você pode fazer é dar IP fixo para alguns clientes e monitorá-los.
A última turma do ano tem previsão para abrir as inscrições no início de Dezembro, quem estiver na lista de espera vou avisar com antecedência: www.wissamquemel.com.br/cursomikrotik
wissam aconteseu isso hj pela manha de repente a CCR reiniciou e começou esse log estranho sem parar vendo o video agora vi la no scrept q tinha criado com meu nome e o acesso a CCR ñ tem meu nome achei estranho e excluir agora vou serguri seus passos e atualizar
Então amigos.
Para adiantar minha história.
Tive este vírus alguns meses atrás,fiz o procedimento e resolvi de boa.
Isso aconteceu em agosto e fiquei até início deste mês sem dar problemas.
Porém voltou dar problema com o virus js:infectedmikrotik-b trj.Já olhei tudo nos meus equipamentos e não achei nada.Eu recebo um /28(ips válidos),mas eu agora acho que o problema está em minha operadora.
Meu conhecimento em rede é intermediário e já chequei tudo mesmo até o que sei.
Não mais o que fazer.
ajudei um amigo meu a resolver isso. tenso. ainda bem que mantenho sempre atualizado meus mk e ubkt.
Doutor o ataque aqui foi feio eles mudaram login de acesso tive que resetar a Mikrotik. Agora bloquei varias portas do firewall e de serviço mais o ataque de ssh, telnet e outras portas continua varios ip de varias parte do mundo existe muitas portas vuneraveis eles fica atacado ate conseguir entrar com ipv6 vai ser pior pois o firewall vai ter cenas garantidas no palco
fui atacado tambem alem de todos citados aqui achei tambem em user na aba groups um usuario chamado FTPGROUPS
Olá senhor Wissam seria possível fazer um vídeo de como implementar o cgnat no mikrotik em uma rede roteada com OSPF, outra coisa você deveria fazer um patreon no qual os usuários do seu canal poderia fazer doações para você bom desde já fico grato com sua atenção
Opa Diego, está na minha lista de sugestões sim!
Uma maneira de contribuir com o canal é entrando no meu curso online, que consigo te ajudar também bastante, e acaba sendo o alicerce de tudo! No mais só de já estar presente aqui comentando, dando like, já ajuda no algoritmo muita coisa!
Boa Noite,eu tenho fibra de 300 , mas quando eu configuro modem em bridge e mk 750gr3 em ppoe,so chega 130 . O que pode ser ,me de uma luz por favor
o nome da rb é alterado para "test"
um detalhe la em system user na aba active users fica 2 usuarios o seu e o rack
opa meu querido peguei este ataque tambem ,,,, hehehe webproxy ,,, beleza !
Boa tarde professor gostaria muito que você fizesse um vídeo mikrotik com mk-auth deixando rodando tudo certinho por gentileza Desde já agradeço
Não chego a trabalhar com MK-Auth, mas se eu tiver ele em mãos em algum momento faço sim
Tambem e criado um interface de vpn em ppp - interfaces
ip - clock e ativado
IP DNS também foi alterado tive alguns casos, principalmente em hap lite RB941-2nD, ip Dns fora alterados para 172.98.194.30 ou 199.43.199.45
NO scheduler tinha 2 configurações criadas eu ja tinha desativado o serviço telnet e o ssh e outros
Sofremos um ataque também eles adicionam um usuário mesmo FTP.... E em grupos é adicionado um grupo FTP....
Por favor faça um vídeo explicando sobre a função Web Proxy pra quer server como funciona. Obrigado
Webproxy hoje em dia é mais complicado porque como praticamente toda página virou segura HTTPS, o Mikrotik só enxerga HTTP, e não trabalha no tráfego encriptado
Wissam, olha o que encontrei:
/ip socks access
add src-address=5.188.0.0/15
add src-address=192.243.0.0/16
add src-address=5.9.0.0/16
add src-address=5.104.0.0/16
add action=deny src-address=0.0.0.0/0
Estou errado, ou meu roteador estava sendo usado para atacar outras rede com um proxy socks?
Agora que sofro na mao dos hackers eu me arrependo de ter sido um la pelos idos de 1998 qdo invadia win98 pelo netbios .kk Valeu pelo aviso
Até hoje vejo nos logs as tentativas... Já fui atacado por eles.
ele tambem cria um acesso no radius vindo do ip 47.75.230.175
faz um video com configurar o ospf e o como fazer um balance com 2 ou mais links de internet
O OSPF ainda não fiz no canal, porém o balance eu já tenho um tutorial completo aqui:
ruclips.net/video/HlmP0cQlPb0/видео.html
blz vlw tu e foda
ola aqui ser eu rest da para revolver todas alteração
Wissam os arquivos que possibilitam esse ataque foram publicados, se você não tiver, eu tenho eles aqui.
Gilson santos , tem como envia.
vitorsouzaofcial68@gmail.com
Tive vários ataques (RB1100, RB750, RB3011), porem o ataque não fez nenhum dano. Alguns cliente me reclamaram de lentidão, mas não consegui constatar isso.
Emanuel Kobylarz
Vc não ver mais os cliente senti, sim! estou com o mesmo problema em duas cidades. A banda dos clientes passa normal, mas se vc for lá vc vai ver que não abre nada mesmo. Embora o consumo esteja passando. E isso eu falo após ter removido os script a dois dias atrás, e mesmo assim ainda permace, o jeito é reconfigurar tudo do zero.
olá tudo bom em seu curso vamos apreender configurar ipv6
Opa, no momento ainda não tenho esse módulo em IPv6
Nice!
Parceiro uma dúvida por que em umas RB tem essa invasão de microtic e em outras não aconteceu !!! mesmo não estando atualizada!!!
Depende de como o hacker está escaneando, alguns IPs são descobertos primeiros e outros não
Olá amigo boa noite estou com um problema na minha RB x86 que os ppoe cai toda hora ja verifiquei toda a rede externa e hoje eu vi um Ip de foa que se conectou com minha RB
Fiz um vídeo sobre quedas PPPoE, vê se ajuda em alguma desses exemplos
Boa noite, estou tendo problema sérios com Wi-Fi no mikrotik, todos os dispositivos desconectam e reconectam constantemente, no ligar da disassocied, sabe me dizer o que pode ser, já estou até desanimado com o mikrotik por causa disso
Opa, não sei lhe dizeer ao certo, tem que ver se o sinal deles realmente está bom ou já está bem fraco
>>> URGENTE > Em script>job apareceu dois arquivos
>>> Em scheduler tudo vazio
>>> ja olhei os usuarios e tudo ok
Bom dia! Uso hotsport, nessa 4 semanas em alguns roteadores de clientes, eles faz login pelo hotspot menos de um minuto ele cai aí ele tem que longar de novo mas torna cair , e se repete o dia todo. Será que pode ser um ataque?
Depende, não dá para saber ao certo...
Boa .....
A minha RB 750Gr3 teve a senha do admin mudada, tive que fazer o reset. Em relação às instruções que você passou Wissam, eu chequei script, scheduler, firewall/nat e files e não tem nada, o web proxy e socks não tão enable, mas no new terminal sempre aparece a msg "DEVICE HACKED - ACCOUNT admin HAD UNSAFE PASSWORD" antes do prompt." e o comando setup sumiu.
Esse da mensagem já foi outra invasão. Você consegue remover indo no New Terminal, e digitando: sys note set note=""
boa tarde amigo, como fazer para configurar a pppoe para que o usuario nao conecte em varios roteadores?
Tem que pegar o MAC da conexão dele, e na criação do usuário, setar em Caller-ID, que você consegue fazer essa amarração. No servidor, deixe o One Session per Host marcado também!
Boa Noite Wissam, fui atacado pelo Sysadminpxy, porém, tento atualizar o firmware e não aceita, (CCR1009), minha versão é a 6.32.3, já tentei até com a 6.32.4 a RB não aceita os pacotes e quando reinicia continua na mesma! Será que o vírus danificou o kernel do sistema, haja vista que estou tendo erros de kernel no log?
Também estou com este problema, não atualiza o firmware.
Conseguiram atualizar?
Também estamos com esse problema.
ola amigo passei pela mesma coisa instala a nova verçao pelo netinstall que vai funcionar
o certo e mudar a porta do winbox e desabilitar servi;os n utilizados
Mudaram o meu DNS e colocaram 5 diferentes
boa tarde minha versao e current posso atualizar ela para bugfix only ou melhor mater o mesmo canal de current ?
O ideal é sempre na Bugfix, que agora virou Long-Term
Da uma dica pra quem tem mais de 3 mil RBs na rede, será que tem alguma forma de fazer o reset da RB e deixar um script pra rodar assim que ela iniciar ?
Tem como atualizar pelo The Dude todas, e tem como colocar um script nela para ir buscar em um lugar específico, e rodar sempre que precisar, com a ferramenta fetch e um ftp
Boa noite gostaria de tirar uma dúvida sobre balance tem algum problema de vc pegar uma rb e fazer um balance com 2 link dedicado e 2 Adsl ou seria melhor eu separar os link Adsl pra uma rb e dedicado pra outra rb por que o cara falou que dar problema o link Adsl com dedicado por conta do upload do dedicado ser maior que o Adsl desde seus vídeos são ótimos e tá me ajudando muito
Não tem problema, pode ser feito também tranquilamente. Nesse caso realmente se o upload de algum dos links topar, teria problema, mas caso não aconteça, vai fluir normalmente
@@WissamQuemel muito obrigado por sua ajuda
Sempre quis saber como funciona o burst time no mikrotik o queue tree trabalha junto do pppoe server? Ou é um controle diferente do outro?
Tudo é jogado lá no Queue. Quando um cliente loga, é criado um controle de banda, e nesse controle tem a configuração de burst. Ainda não fiz um vídeo sobre isso especificamente
Espero que faço um sobre! Muito obrigado e continue com seu otimo trabalho.
Quem foi atacado mais não perdeu acesso a seus roteadores, consegue identificar o usuário e senha que o vírus cria?
Não sei exatamente qual usuário e senha fica
Professor , depois que atualizei minha RB3011 atual (6.40.8 (bugfix) )apareceu agora uma mensagem de vez enquando informando
system,info item removed
system,info item removed
system,info item add
system,info item add
só que não tem informação no log que alguem possa ter logado !
Seria normal ?
Quer dizer que algum item foi removido e depois adicionado, não dá para saber exatamente qual usuário. De qualquer forma, você tem que trocar todos os usuários e senhas da sua RB
como vai ser este curso ?? online ??? ou presencial ? e se presencial em que cidade wissam ?
Adiantando a resposta o curso é Online, estou participando da primeira turma e garanto que vale a pena o investimento!
opa que bom, Wissam por favor envie me as informações de seu curso para o meu email : byte.aureli@gmail.com. valeu pela informação Filipe Rocha.
Filipi Rocha da pra assistir as aulas no celular ?
Opa, pode acessar o site www.wissamquemel.com.br/cursomikrotik para ver todos os detalhes. Pode acessar pelo telefone sim
bom dia professor! depois que minha rb sofreu ataque não aparece mais nada no status de log somente quem faz poe ,alguem esta com este problema?
Você pode ir lá em System - Logging. Ve no tópico Info, se ele estiver com um ! do lado, precisa remover
Great video.. but pls.. in English!
It'll be difficult to post in English, i don't know if there's subtitles for you in the video. Where are you from?
Depois desse ataque na minha Rb EU não consigo mas entra pelo winbox usando o Ip somente pelo mac
Deve ter alguma regra em IP Firewall Filter, ou alguma exceção em IP - Service criadas
Ja tirei todas regras feitas pelo ataque mesmo assim continuo sem acesso a Rb via IP
No log aparece alguma tentativa pelo menos?
Complementando,nao gosto do modo como mikrotik gerencia os scripts,as senhas e dados de email,ddns ficam todos expostos ,o cara entrar numa das minhas RBs vai ter acesso a minha conta dyndns no qual tenho 120 clientes ,deveriam encriptar os dados ,outra coisa que poderiam mudar é uma opção de colocar um papel de parede no fundo da RB ,nao raro me pego mudando coisas nas RBs erradas pq abro varias ao mesmo tempo para copiar coisas.
A Mikrotik pegou pesado na segurança nas últimas atualizações, está mudando desde a encriptação do backup até protocolos mais sofisticados. Mas de qualquer forma, protegendo como deve ser feito, não há problema!
Vir muitos com 3011 sendo atacado
o problema dessa versão nova da mk é que o netwatch parou de funcionar
Sim, foi alterado algumas permissões nele!
Eu tenho uma ccr 1009 com firmware v6.40.4 esta vulnerável a esse virus/hacker?
Sim, precisa estar na 6.40.9 no mínimo
fui atacado
resolvi atualizando a versão
Boa tarde também podem verificar em Packet Sniffer que esta com um endereço ativo 125.212.228.198
I closed the vulnerability with a firewall. Please update RouterOS. You can O terminal ta com essa mensagem
Alguém entrou e fechou a vulnerabilidade para você, em tese algum "vigilante do bem". Apenas atualize a sua RB nesse caso. Deve ter feito algumas regras de firewall que você pode inspecionar depois
apareceu nos meus clientes ppoe .. o usuario vpn .. seria um virus ?
Depende, não entendi exatamente o cenário
Aqui o script desativou tbm todas as regras no firewall