Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2

[Lisovic]

Почитав трохи форум мікротіка, доповню написане вище

Дирку закрили в версії 6.38.5 Current и 6.37.5 для Bugfix only. Експлойт атакує тільки WWW (80) порт, 8291 використовується тільки для ідентифікації пристрою, тобто якщо веб морда на зовні не торчить то можна спати спокійно.

Крім цього експлойта є ще один більш свіжий, який націлений на SMB, цю дирку закрили тільки в 6.41.3 (Current) для Bugfix оновлень ще нема. Ну і знов таки якщо SMB вимкнутий чи закритий фаєрволом то можна спати спокійно.

Зрозуміти чи заражений пристрій можна по тому чи є вихідні з'єднання по Telnet

[Ukrainec]

  В 01.04.2018 в 09:27, Lisovic сказав:

Почитав трохи форум мікротіка, доповню написане вище

Дирку закрили в версії 6.38.5 Current и 6.37.5 для Bugfix only. Експлойт атакує тільки WWW (80) порт, 8291 використовується тільки для ідентифікації пристрою, тобто якщо веб морда на зовні не торчить то можна спати спокійно.

Крім цього експлойта є ще один більш свіжий, який націлений на SMB, цю дирку закрили тільки в 6.41.3 (Current) для Bugfix оновлень ще нема. Ну і знов таки якщо SMB вимкнутий чи закритий фаєрволом то можна спати спокійно.

Зрозуміти чи заражений пристрій можна по тому чи є вихідні з'єднання по Telnet

Показати  

Обновився на свою голову до 6.41.3. Роутер постійно ребутиться. Тепер ламаю голову, що з цим робити? 

Ініціалізація одним звуковим сигналом, діод загорається гасне  і все. 

[Lisovic]

@Ukrainec спробуй скинути йому налаштування. через кнопку ресет

Якщо не допоможе спробуй перешити через Netinstall

http://www.technotrade.com.ua/Articles/mikrotik-netinstall-recovery.php

[Ukrainec]

На резет завмирає 0 реакції! Зелений діодик постійно горить при цьому

Якийнетінстал, якщо він навіть до ініціалізації не доходить?

[Lisovic]

  В 01.04.2018 в 12:05, Ukrainec сказав:

Якийнетінстал, якщо він навіть до ініціалізації не доходить?

Показати  

Ініціалізація йому і не треба, в мікротіка є дві прошивки Firmware, і відповідно сама ROS, Netinstall працює з Firmware і якраз рятує при невдалій прошивці.

 

п.с. може бути шо Netinstall непобачить мікротік, тоді варто спробувати версію таку як була в старій прошивці.

[Ukrainec]

ВІн постійно ребутиться. 

в який момент це робити?

[Lisovic]

Отключите питание от устройства MikroTik.

Нажмите и держите нажатой кнопку Reset.

Подайте питание на MikroTik.

Продолжайте держать нажатой кнопку Reset (около 30 секунд), пока устройство не появится в программе Netinstall. После этого можно отпустить кнопку Reset.

[Factory]

  В 13.03.2018 в 10:55, MACCEN сказав:

багато ума не треба взломати чужий вайфай, а вже через його компа ломати ще щось, у багатьох файли з паролями лежать відкрито на робочому столі (бо так зручо).

 

Доречі хто хоче стати досвідченим по кібер захисту, можете арендувати собі сервачка за 5 баксів в місяць навісити туди сайтика якогось, створити пару сайтів з легкими пароляи і понаблюдати як вас ломають, проаналізувати логи, ну і так можна атакуючому теж щось цікавеньке відправити "отвєточку" він думає що поламам вас, а на справді ви його ломанули  

 

Так робить більшість спеців з банків

Показати  

цікаво

[Lisovic]

@Ukrainec є якісь здвиги?

[Ukrainec]

  В 01.04.2018 в 13:19, Lisovic сказав:

@Ukrainec є якісь здвиги?

Показати  

Чуть розумом не з"їхав! Ти "зробив" мій день! 

 

Все ж таки поставив 6.41.3 через нетінстал, але запустити роутер на 6.4х серії прошивок так і не вийшло на старому конфізі. 

+виявилося нетінстал ще та штучка, не на кожному компі працює. Та й на тому що запрацювало, виявляється йому треба зробити ребут після типу його "встановлення".

 

6.4х. справді має певні розбіжності з 6.38 версією. 

 

 

Про вірус хоч правда? можеш завтра дати відповідь

 

 

 

[Lisovic]

  В 01.04.2018 в 15:09, Ukrainec сказав:

Про вірус хоч правда? можеш завтра дати відповідь

Показати  

Про вірус правда, там в попередніх повідомленнях є посилання на форум мікротіка, там попередження від 28 березня, також вчора на почту прийшов лист від мікротіка з попередженням, хоча раніше ніколи не присилали такого, значить штука серйозна.

 

На рахунок невдалої прошивки, таке, нажаль трапляється зі всіма, я в п'ятницю джуніпера так завалив при прошивці, правда там більш продумано, якщо не зміг загрузитись із основного розділу то після перезавантаження загружається з резервного на старій ОС

 

  В 01.04.2018 в 15:09, Ukrainec сказав:

але запустити роутер на 6.4х серії прошивок так і не вийшло на старому конфізі

Показати  

Є така штука на мікротіках, про що я і попереджував постом вище, там досить часто буває що новіша прошивка не хоче загружати старий конфіг, або загружає а працює не так як треба. Ми із за таких приколів, відмовились від ідеї переходити на мікротіки, а вирішили брати більш серйозніше обладнання, да таких приколів в рази менше.

[Zheny@]

  В 01.04.2018 в 18:23, Lisovic сказав:

вирішили брати більш серйозніше обладнання, да таких приколів в рази менше.

Показати  

Cisco?

[Lisovic]

  В 01.04.2018 в 18:25, Zheny@ сказав:

Cisco?

Показати  

Нє, циско нинче зажрались, дорогі стали, на кожен чих ліцензію хочуть. Хоча зараз майже вся мережа на них, але з ростом трафіка старі 880 вже не справляються, того потроху переводим на їх конкурентів.

[Ukrainec]

що то з приколом по налаштуванню DHCP на новій прошивці? 30хв махався, так і не зміг підв"язати статичну таблицю клієнтської бази.

[Lisovic]

  В 01.04.2018 в 18:36, Ukrainec сказав:

що то з приколом по налаштуванню DHCP на новій прошивці? 30хв махався, так і не зміг підв"язати статичну таблицю клієнтської бази.

Показати  

Тут хз, не стикався із резервуванням на мікротіках.

Ща на свому домашньому протестив, там є прикол, якщо клієнт вже отримав адрес і запис про це є в таблиці а потім добавити статичний адрес, то поки цей запис не видалити то клієнт не отримає статичний.

[Ukrainec]

  В 01.04.2018 в 18:45, Lisovic сказав:

Тут хз, не стикався із резервуванням на мікротіках.

Ща на свому домашньому протестив, там є прикол, якщо клієнт вже отримав адрес і запис про це є в таблиці а потім добавити статичний адрес, то поки цей запис не видалити то клієнт не отримає статичний.

Показати  

Ну це і в старому так... 

Буде час і не св"ято спробую ще раз 6.41.3

[Lisovic]

  В 01.04.2018 в 18:55, Ukrainec сказав:

Ну це і в старому так... 

Буде час і не св"ято спробую ще раз 6.41.3

Показати  

Тут ще може бути глюк, якщо базу копіпастиш через консоль із строї конфи, в мікротіків є бага коли на новому ПО команди зі старої конфи він відпрацьовує некоректно. Я так колись всю мережу в в себе положив, одной командою.

[Lisovic]

Ну шо хлопаки поїхали далі? Хоч і не пєтя, але все одно мало приємного:

 

Попереджаємо про можливу масштабну кібератаку в Україні з використанням ШПЗ VPNFilter.

Шкідливе програмне забезпечення VPNFilter - це багатоступенева модульна платформа, що має універсальні можливості для підтримки інтелектуального збирання та руйнівних операцій з використанням кібер-атак.

Список пристроїв, на яких впливає VPNFilter, включає мережеве обладнання Linksys, MikroTik, NETGEAR та TP-Link, а також пристрої для зберігання даних на базі мережі QNAP (NAS). Пристрої, скомпрометовані VPNFilter, можуть бути вразливими до збору мережевого трафіку (включаючи облікові дані веб-вузла), а також моніторингу протоколів управління та обробки даних (Module SCADA).

VPNFilter може заблокувати пристрій і зробити його непридатним для використання. Через те, що зловмисне програмне забезпечення може спрацьовувати відразу для окремих або декількох пристроїв, VPNFilter може відключити доступ до Інтернету для сотень тисяч користувачів.

Відомі постраждалі пристрої:

  Показати контент

LINKSYS DEVICES:

E1200
E2500
WRVS4400N

ВІРТУАЛЬНІ МАРШРУТИЗАТОРИ MIKROTIK ROUTEROS ДЛЯ CLOUD CORE МАРШРУТИЗАТОРІВ:

1016
1036
1072

ПРИСТРОЇ NETGEAR:

DGN2200
R6400
R7000
R8000
WNR1000
WNR2000

ПРИСТРОЇ QNAP:

TS251
TS439 Pro

Інші пристрої QNAP NAS, що працюють на програмному забезпеченні QTS

ПРИСТРОЇ TP-LINK:

R600VPN

Більше за посиланням https://cert.gov.ua/news/37

 

Шо за звір і чим може грозити поки не розбирався, якщо хтось щось знає більше діліться.

 

upd. cisco каже що заражено більше 500000 девайсів в 54 країнах.

Оригінал статті: https://blog.talosintelligence.com/2018/05/VPNFilter.html

[mis05]

Сьогодні якраз річниця подій з назви теми.
Ніхто не чув, чи з’явився алгоритм для розшифровки файлів?

[Zheny@]

  В 27.06.2018 в 11:06, mis05 сказав:

Ніхто не чув, чи з’явився алгоритм для розшифровки файлів?

Показати  

Ні. Бо файли не шифрувалися а псувалися.

Затирався перший байт.

[Coding]

  В 27.06.2018 в 11:15, Zheny@ сказав:

Затирався перший байт.

Показати  

якщо тільки перший байт, то не велика проблема його підібрати

[Zheny@]

@Coding  суть якраз у псуванні ,а не шифруванні. Мета втрачається.

 

 

[AgentSmith13]

Ну що ж, "страшна кібератака", про яку так активно попереджали всі,Ю не відбулася (навіть серваки під віндою - ОК), з чим усіх адмінів і вітаю!

[Volyniaka]

  В 28.06.2018 в 17:59, AgentSmith13 сказав:

Ну що ж, "страшна кібератака", про яку так активно попереджали всі,Ю не відбулася (навіть серваки під віндою - ОК), з чим усіх адмінів і вітаю!

Показати  

Москалі прокололись! Сьогодні у всіх держустановах вихідний. Ніхто компів і не вмикав... ))

[Coding]

  В 28.06.2018 в 20:57, Volyniaka сказав:

Москалі прокололись! Сьогодні у всіх держустановах вихідний. Ніхто компів і не вмикав... ))

Показати  

Минулого року це нам не допомогло...