Перейти до змісту

Новий вірус NePetya, Petya.A, ExPetya и WannaCry-2


Єретик

Рекомендовані повідомлення

Почитав трохи форум мікротіка, доповню написане вище

Дирку закрили в версії 6.38.5 Current и 6.37.5 для Bugfix only. Експлойт атакує тільки WWW (80) порт, 8291 використовується тільки для ідентифікації пристрою, тобто якщо веб морда на зовні не торчить то можна спати спокійно.

Крім цього експлойта є ще один більш свіжий, який націлений на SMB, цю дирку закрили тільки в 6.41.3 (Current) для Bugfix оновлень ще нема. Ну і знов таки якщо SMB вимкнутий чи закритий фаєрволом то можна спати спокійно.

Зрозуміти чи заражений пристрій можна по тому чи є вихідні з'єднання по Telnet

Посилання на коментар
Поділитись на інші сайти

  • Відповідей 933
  • Створено
  • Остання відповідь
2 годин тому, Lisovic сказано:

Почитав трохи форум мікротіка, доповню написане вище

Дирку закрили в версії 6.38.5 Current и 6.37.5 для Bugfix only. Експлойт атакує тільки WWW (80) порт, 8291 використовується тільки для ідентифікації пристрою, тобто якщо веб морда на зовні не торчить то можна спати спокійно.

Крім цього експлойта є ще один більш свіжий, який націлений на SMB, цю дирку закрили тільки в 6.41.3 (Current) для Bugfix оновлень ще нема. Ну і знов таки якщо SMB вимкнутий чи закритий фаєрволом то можна спати спокійно.

Зрозуміти чи заражений пристрій можна по тому чи є вихідні з'єднання по Telnet

Обновився на свою голову до 6.41.3. Роутер постійно ребутиться. Тепер ламаю голову, що з цим робити? :0029:

Ініціалізація одним звуковим сигналом, діод загорається гасне  і все. 

Посилання на коментар
Поділитись на інші сайти

@Ukrainec спробуй скинути йому налаштування. через кнопку ресет

Якщо не допоможе спробуй перешити через Netinstall

http://www.technotrade.com.ua/Articles/mikrotik-netinstall-recovery.php

Посилання на коментар
Поділитись на інші сайти

На резет завмирає 0 реакції! Зелений діодик постійно горить при цьому

Якийнетінстал, якщо він навіть до ініціалізації не доходить?

Посилання на коментар
Поділитись на інші сайти

6 хвилин тому, Ukrainec сказано:

Якийнетінстал, якщо він навіть до ініціалізації не доходить?

Ініціалізація йому і не треба, в мікротіка є дві прошивки Firmware, і відповідно сама ROS, Netinstall працює з Firmware і якраз рятує при невдалій прошивці.

 

п.с. може бути шо Netinstall непобачить мікротік, тоді варто спробувати версію таку як була в старій прошивці.

Посилання на коментар
Поділитись на інші сайти

ВІн постійно ребутиться. 

в який момент це робити?

Посилання на коментар
Поділитись на інші сайти

Отключите питание от устройства MikroTik.

Нажмите и держите нажатой кнопку Reset.

Подайте питание на MikroTik.

Продолжайте держать нажатой кнопку Reset (около 30 секунд), пока устройство не появится в программе Netinstall. После этого можно отпустить кнопку Reset.

Посилання на коментар
Поділитись на інші сайти

On 13.03.2018 at 12:55, MACCEN сказано:

багато ума не треба взломати чужий вайфай, а вже через його компа ломати ще щось, у багатьох файли з паролями лежать відкрито на робочому столі (бо так зручо).

 

Доречі хто хоче стати досвідченим по кібер захисту, можете арендувати собі сервачка за 5 баксів в місяць навісити туди сайтика якогось, створити пару сайтів з легкими пароляи і понаблюдати як вас ломають, проаналізувати логи, ну і так можна атакуючому теж щось цікавеньке відправити "отвєточку" він думає що поламам вас, а на справді ви його ломанули :) 

 

Так робить більшість спеців з банків :)

цікаво:)

Посилання на коментар
Поділитись на інші сайти

@Ukrainec є якісь здвиги?

Посилання на коментар
Поділитись на інші сайти

1 година тому, Lisovic сказано:

@Ukrainec є якісь здвиги?

Чуть розумом не з"їхав! Ти "зробив" мій день! 

 

Все ж таки поставив 6.41.3 через нетінстал, але запустити роутер на 6.4х серії прошивок так і не вийшло на старому конфізі. 

+виявилося нетінстал ще та штучка, не на кожному компі працює. Та й на тому що запрацювало, виявляється йому треба зробити ребут після типу його "встановлення".

 

6.4х. справді має певні розбіжності з 6.38 версією. 

 

 

Про вірус хоч правда? можеш завтра дати відповідь

 

 

 

Посилання на коментар
Поділитись на інші сайти

3 годин тому, Ukrainec сказано:

Про вірус хоч правда? можеш завтра дати відповідь

Про вірус правда, там в попередніх повідомленнях є посилання на форум мікротіка, там попередження від 28 березня, також вчора на почту прийшов лист від мікротіка з попередженням, хоча раніше ніколи не присилали такого, значить штука серйозна.

 

На рахунок невдалої прошивки, таке, нажаль трапляється зі всіма, я в п'ятницю джуніпера так завалив при прошивці, правда там більш продумано, якщо не зміг загрузитись із основного розділу то після перезавантаження загружається з резервного на старій ОС

 

3 годин тому, Ukrainec сказано:

але запустити роутер на 6.4х серії прошивок так і не вийшло на старому конфізі

Є така штука на мікротіках, про що я і попереджував постом вище, там досить часто буває що новіша прошивка не хоче загружати старий конфіг, або загружає а працює не так як треба. Ми із за таких приколів, відмовились від ідеї переходити на мікротіки, а вирішили брати більш серйозніше обладнання, да таких приколів в рази менше.

Посилання на коментар
Поділитись на інші сайти

1 хвилина тому, Lisovic сказано:

вирішили брати більш серйозніше обладнання, да таких приколів в рази менше.

Cisco?

Посилання на коментар
Поділитись на інші сайти

Щойно, Zheny@ сказано:

Cisco?

Нє, циско нинче зажрались, дорогі стали, на кожен чих ліцензію хочуть. Хоча зараз майже вся мережа на них, але з ростом трафіка старі 880 вже не справляються, того потроху переводим на їх конкурентів.

Посилання на коментар
Поділитись на інші сайти

що то з приколом по налаштуванню DHCP на новій прошивці? 30хв махався, так і не зміг підв"язати статичну таблицю клієнтської бази.

Посилання на коментар
Поділитись на інші сайти

5 хвилин тому, Ukrainec сказано:

що то з приколом по налаштуванню DHCP на новій прошивці? 30хв махався, так і не зміг підв"язати статичну таблицю клієнтської бази.

Тут хз, не стикався із резервуванням на мікротіках.

Ща на свому домашньому протестив, там є прикол, якщо клієнт вже отримав адрес і запис про це є в таблиці а потім добавити статичний адрес, то поки цей запис не видалити то клієнт не отримає статичний.

Посилання на коментар
Поділитись на інші сайти

8 хвилин тому, Lisovic сказано:

Тут хз, не стикався із резервуванням на мікротіках.

Ща на свому домашньому протестив, там є прикол, якщо клієнт вже отримав адрес і запис про це є в таблиці а потім добавити статичний адрес, то поки цей запис не видалити то клієнт не отримає статичний.

Ну це і в старому так... 

Буде час і не св"ято спробую ще раз 6.41.3

Посилання на коментар
Поділитись на інші сайти

38 хвилин тому, Ukrainec сказано:

Ну це і в старому так... 

Буде час і не св"ято спробую ще раз 6.41.3

Тут ще може бути глюк, якщо базу копіпастиш через консоль із строї конфи, в мікротіків є бага коли на новому ПО команди зі старої конфи він відпрацьовує некоректно. Я так колись всю мережу в в себе положив, одной командою.

Посилання на коментар
Поділитись на інші сайти

  • 1 місяць потому...

Ну шо хлопаки поїхали далі? Хоч і не пєтя, але все одно мало приємного:

 

Попереджаємо про можливу масштабну кібератаку в Україні з використанням ШПЗ VPNFilter.

Шкідливе програмне забезпечення VPNFilter - це багатоступенева модульна платформа, що має універсальні можливості для підтримки інтелектуального збирання та руйнівних операцій з використанням кібер-атак.

Список пристроїв, на яких впливає VPNFilter, включає мережеве обладнання Linksys, MikroTik, NETGEAR та TP-Link, а також пристрої для зберігання даних на базі мережі QNAP (NAS). Пристрої, скомпрометовані VPNFilter, можуть бути вразливими до збору мережевого трафіку (включаючи облікові дані веб-вузла), а також моніторингу протоколів управління та обробки даних (Module SCADA).

VPNFilter може заблокувати пристрій і зробити його непридатним для використання. Через те, що зловмисне програмне забезпечення може спрацьовувати відразу для окремих або декількох пристроїв, VPNFilter може відключити доступ до Інтернету для сотень тисяч користувачів.

Відомі постраждалі пристрої:

Спойлер

LINKSYS DEVICES:

E1200
E2500
WRVS4400N

ВІРТУАЛЬНІ МАРШРУТИЗАТОРИ MIKROTIK ROUTEROS ДЛЯ CLOUD CORE МАРШРУТИЗАТОРІВ:

1016
1036
1072

ПРИСТРОЇ NETGEAR:

DGN2200
R6400
R7000
R8000
WNR1000
WNR2000

ПРИСТРОЇ QNAP:

TS251
TS439 Pro

Інші пристрої QNAP NAS, що працюють на програмному забезпеченні QTS

ПРИСТРОЇ TP-LINK:

R600VPN

Більше за посиланням https://cert.gov.ua/news/37

 

Шо за звір і чим може грозити поки не розбирався, якщо хтось щось знає більше діліться.

 

upd. cisco каже що заражено більше 500000 девайсів в 54 країнах.

Оригінал статті: https://blog.talosintelligence.com/2018/05/VPNFilter.html

Посилання на коментар
Поділитись на інші сайти

  • 1 місяць потому...

Сьогодні якраз річниця подій з назви теми.
Ніхто не чув, чи з’явився алгоритм для розшифровки файлів?

Посилання на коментар
Поділитись на інші сайти

9 хвилин тому, mis05 сказано:

Ніхто не чув, чи з’явився алгоритм для розшифровки файлів?

Ні. Бо файли не шифрувалися а псувалися.

Затирався перший байт.

Посилання на коментар
Поділитись на інші сайти

18 годин тому, Zheny@ сказано:

Затирався перший байт.

якщо тільки перший байт, то не велика проблема його підібрати

Посилання на коментар
Поділитись на інші сайти

@Coding  суть якраз у псуванні ,а не шифруванні. Мета втрачається.

 

 

Посилання на коментар
Поділитись на інші сайти

Ну що ж, "страшна кібератака", про яку так активно попереджали всі,Ю не відбулася (навіть серваки під віндою - ОК), з чим усіх адмінів і вітаю!

Посилання на коментар
Поділитись на інші сайти

2 годин тому, AgentSmith13 сказано:

Ну що ж, "страшна кібератака", про яку так активно попереджали всі,Ю не відбулася (навіть серваки під віндою - ОК), з чим усіх адмінів і вітаю!

Москалі прокололись! Сьогодні у всіх держустановах вихідний. Ніхто компів і не вмикав... ))

Посилання на коментар
Поділитись на інші сайти

9 годин тому, Volyniaka сказано:

Москалі прокололись! Сьогодні у всіх держустановах вихідний. Ніхто компів і не вмикав... ))

Минулого року це нам не допомогло...

Посилання на коментар
Поділитись на інші сайти

Заархівовано

Ця тема знаходиться в архіві та закрита для подальших відповідей.



Hosting Ukraine
AliExpress WW


×
×
  • Створити...