mikrotik 라우터 해킹 관련

살바   
   조회 1755   추천 0    

 안녕하세요.

이번 연휴를 보내고 출근하니 사무실 인터넷이 이상해서 원인을 찾아보니 mikrotik 라우터 장비가 해킹을 당했네요.

특별히 열어 놓은 서비스는 없었는데 기본 api, api-ssl, ssh 이렇게 3가지만 enable 상태였는데요.

누군가 들어와서 방화벽 룰을 추가하고 이상한 처리를 해놓았네요.

찾아보니 최근에 보안이슈가 있었던것 같은데 패치를 하려면 winbox 버전 최신으로 다운 받아서 쓰고

라우터 os를 최신 버전으로 업그레이드 하면 되는걸까요?

아니면 별도의 작업을 추가로 해줘야 할까요?

아.. 간만에 스트레스 받네요 ㅠㅠ

박건 09-27
일단 스크립트랑 스케쥴러 쪽에 설정한 적이 없는 항목들을(해킹된 Router 정보를 주기적으로 전송하는 스크립트) 제거한 다음, Socks 그리고 웹프록시항목도 확인해주세요(해킹후에 웹프록시로 코인 마이닝 스크립트를 걸어놓은 사례가 있었습니다.)
다음으로 패스워드를 반드시 변경해주시고(내부 사용자DB를 털어가는 해킹이슈), RouterOS 최신버전으로 업데이트 해주세요.

SSH 서버스는 접속가능 IP를 설정해주시던가, port-knocking 을 적용해주시면 보다 안전합니다.

WinBox는 Tools 메뉴에 Check for update 항목으로 업데이트 하면 됩니다.
     
살바 09-27
네 답변 감사드립니다. 확인해보니 socks랑 웹프록시쪽에 없던 설정들이 있길래 전부다 삭제한 상태이고요
스케줄러나 스크립트 자체는 추가된건 보이지는 않더라고요

port knocking이라는게 방화벽에 설정을 해놓고 해당 ip가 맞게 접근을 하면 열어주는 방식 같은데
이게 실제로 input chain에 적용을 하면 내부 망의 pc들은 사용하는데 문제가 없을까요?
내부 pc들은 사설 ip 대역을 쓰고 masquerading되어있는 상태이거든요.
          
박건 09-27
정확히는 특정 포트에 특정 동작을 수행하면 방화벽에서 해당 IP를 열어주는 방법입니다.
SSH는 보안에 매우..

포트 바꾸고 지정 IP 대역대 활성화가 아니라면 기본적으로 Disable 처리 하시는게 좋습니다.

miktroik의 경우 상용 장비라 해킹 시도 빈번하게 들어옵니다 ㅠ.ㅠ
배상0원 09-28
어제부터 이상해서 뒤져보니 제게도 들어왔네요.
스케줄러와 방화벽, 웹프록시를 만져두고 갔습니다.
기존 스케줄러를 다 지워놨네요. 이런...
gentoo 10-03
address-list와 address-list-timeout을 적절하게 활용하시면 ssh에 랜덤 대입으로 퍼붓는 브루트 포스 어택을 효율적으로 차단할 수 있습니다. ssh 외부에서 그냥 열어놨지만 포트 바꾸고 1분 안에 2번 이상 커넥션 다시 들어오면 ip 막아버리도록 방화벽 셋팅해놓으니 현재까지 굉장히 안전합니다. 유저네임 반듯이 바꾸시고요. 물론 admin 이런거 말고 아예 개인적으로 사용하실만한걸로 말이지요.
김현린 10-04
ssh가 외부에서 바로 붙게 되어있는건가요?
이것만 아니여도 갠춘하지않을까.. 싶어서 그냥 방심한채로 있는데
아니려나요 ㄷㄷㄷ
박완경 10-07
집에서 인터넷 하다보면 이상해서 winbox에 들어가봤더니 이상한짓을 해놨더라고요,, 제가 만들어 놓은 스케쥴러는 다 지우고 비트코인 마이닝 같은걸 시켜 놓은거 같더라고요 winbox 서비스만 켜놨는데 어떻게 들어 왔는지 모르겠네요,, 정작 성능좋은 메인 서버는 내비두고 좋지도 않는 공유기에다가 헐,,,,
엠브리오 10-08
ssh 는 정해진 IP에서만 접근하도록 제한시켜 두어야 합니다.
리눅스 서버라면 fail2ban 같은걸 설치해두면 되지만, 미크로틱에서는 불가하므로..
     
가능합니다. ssh 접근 아이피 지정도 근데 ssh 에서 설정하는게 아니라 방화벽에서 하는거죠




제목Page 1/40
10-21   178   Andrew
10-21   144   깡통이
10-18   353   버프엔지니…
10-12   537   NGC
10-08   806   익스텐션
10-08   1069   박건
10-08   701   회원K
10-05   1004   김은호
10-04   967   ENIHS
09-27   1756   살바
09-25   1685   팬도라
09-20   1802   권오준
09-19   1752   곰삼촌
09-18   1629   MOONL
09-18   1582   머도라훈
09-17   1358   회원K
09-16   1825   김은호
09-12   1115   winner712
09-05   2136   DONGMIN
09-04   2087   이창준