Pessoal estou precisando de ajuda urgente, tem Hackers invadindo minhas Rbs e fazendo a maior bagunça como posso evitar que isto ocorra, só quero trabalhar em Paz e não estou conseguindo acho que é a mando de concorrentes, mas não posso afirmar nada. ?
Por favor me ajudem.
Vejam as imagens.
Esta chegando estas mensagens no meu E-mail
Caro responsavel,
O IP presente nos logs abaixo e' um servidor DNS recursivo aberto sob
sua responsabilidade. Este servidor pode ser vitima de ataques de
envenenamento de cache ou ser abusado para ataques de negacao de
servico, consumindo recursos da sua rede.
Gostariamos de solicitar que:
* O servidor DNS listado seja configurado de modo a corrigir este
problema.
Uma descricao do problema e possiveis solucoes podem ser
encontradas em:
http://www.cert.br/docs/whitepapers/dns-recursivo-aberto/
========================================================================
# inicio do log.
# Legenda:
# IP: IP do servidor DNS recursivo aberto
# ASN: Autonomous System (AS) a que pertence IP
# status: OPEN, o IP e' um servidor DNS recursivo aberto
# data: momento em que IP foi testado (yyyy-mm-dd hh:mm:ss, timezone UTC)
# IP | ASN | status | data
200.202.204.105 | 52932 | OPEN | 2013-04-02 05:05:15 +0000
# fim do log.
========================================================================
Respostas
Sobre a porta DNS
/ip firewall filter
add action=drop chain=input comment=”Bloqueio DNS” dst-port=53 in-interface=Link protocol=udp
Caso faça a configuração via winbox com o Safemode ativado. Assim se digitar algo errado, não corre o risco de bugar tudo.
Se estiver com problema ainda me add 37999120311
uma dica além de eliminar o login admin é criar uma regra para que o login ao winbox seja feito somente por mac´s cadastrados...
Sem Limite Comunicações disse:
boa noite isso mesmo amigo muda tudo
eu ja tive um problema não igual a este mais LOGIN ADMIN nunca mais
coloca se suas RB,s for ap bridge coloca chave wpa2 aes
NA REALIDADE O CARA FOI TENTANDO ATÉ ACHAR MINHA SENHA QUE ERA UMA MERDA DE FRACA TIPO NOME DA EMPRESA
COLOCA LETRAS E SIMBOLOS MINUSCULOS E MAUSCULOS
Tecnocéu Informática disse:
acompanhando...
Outra, roubando o certificado SSH do MK-AUTH(chave.pub) você pode acessar qualquer RB se o usuário mkauth não estiver configurado para ser aceito somente do IP do MK-AUTH.
Amigo muito obrigado pelas dicas, foram de muita ajuda, vou seguir todas elas, se alguem tiver mais algumas dicas serâo bem vindas.
Paulo Vinicius disse:
Ou ainda algum ex-funcionário descontente ou em outra hipótese, algum backup compartilhado, visto que se pode obter as senhas do admin facilmente por backup do mikrotik.
Paulo Vinicius disse:
Na verdade você tem 2 problemas separados.
O do e-mail é que seu servidor DNS está respondendo solicitações externas.
Basta um drop nas portas 53/udp e 53/udp da sua interface externa.
Quando ao cara que logou na sua RB, ele precisou dos dados de login.
Pode ser que alguma senha padrão tenha sido acidentalmente deixada(admin/sem senha), que ele tenha usado um ataque de força bruta(tentando milhares de senhas) ou que ele tenha capturado sua senha "no ar", enquanto estava sendo transmitida de forma insegura(Winbox com seguraça desativada ou telnet).
Basicamente, é isso.
Edit: sempre desabilite FTP e Telnet das RBs. Se precisar do FTP, ative por Winbox/SSH, use e desative.
Telnet, sempre desligado. Use regras para proteger de ataques brute-force via FTP(se precisar deixar aberto indefinidamente) e/ou SSH:
http://wiki.mikrotik.com/wiki/Bruteforce_login_prevention
-
1
-
2
de 2 Próximo