박건 2018-09

일단 스크립트랑 스케쥴러 쪽에 설정한 적이 없는 항목들을(해킹된 Router 정보를 주기적으로 전송하는 스크립트) 제거한 다음, Socks 그리고 웹프록시항목도 확인해주세요(해킹후에 웹프록시로 코인 마이닝 스크립트를 걸어놓은 사례가 있었습니다.)
다음으로 패스워드를 반드시 변경해주시고(내부 사용자DB를 털어가는 해킹이슈), RouterOS 최신버전으로 업데이트 해주세요.

SSH 서버스는 접속가능 IP를 설정해주시던가, port-knocking 을 적용해주시면 보다 안전합니다.

WinBox는 Tools 메뉴에 Check for update 항목으로 업데이트 하면 됩니다.

살바 2018-09

네 답변 감사드립니다. 확인해보니 socks랑 웹프록시쪽에 없던 설정들이 있길래 전부다 삭제한 상태이고요
스케줄러나 스크립트 자체는 추가된건 보이지는 않더라고요

port knocking이라는게 방화벽에 설정을 해놓고 해당 ip가 맞게 접근을 하면 열어주는 방식 같은데
이게 실제로 input chain에 적용을 하면 내부 망의 pc들은 사용하는데 문제가 없을까요?
내부 pc들은 사설 ip 대역을 쓰고 masquerading되어있는 상태이거든요.

박건 2018-09

정확히는 특정 포트에 특정 동작을 수행하면 방화벽에서 해당 IP를 열어주는 방법입니다.

새하얀구름 2018-09

SSH는 보안에 매우..

포트 바꾸고 지정 IP 대역대 활성화가 아니라면 기본적으로 Disable 처리 하시는게 좋습니다.

miktroik의 경우 상용 장비라 해킹 시도 빈번하게 들어옵니다 ㅠ.ㅠ

배상0원 2018-09

어제부터 이상해서 뒤져보니 제게도 들어왔네요.
스케줄러와 방화벽, 웹프록시를 만져두고 갔습니다.
기존 스케줄러를 다 지워놨네요. 이런...

gentoo 2018-10

address-list와 address-list-timeout을 적절하게 활용하시면 ssh에 랜덤 대입으로 퍼붓는 브루트 포스 어택을 효율적으로 차단할 수 있습니다. ssh 외부에서 그냥 열어놨지만 포트 바꾸고 1분 안에 2번 이상 커넥션 다시 들어오면 ip 막아버리도록 방화벽 셋팅해놓으니 현재까지 굉장히 안전합니다. 유저네임 반듯이 바꾸시고요. 물론 admin 이런거 말고 아예 개인적으로 사용하실만한걸로 말이지요.

김현린 2018-10

ssh가 외부에서 바로 붙게 되어있는건가요?
이것만 아니여도 갠춘하지않을까.. 싶어서 그냥 방심한채로 있는데
아니려나요 ㄷㄷㄷ

박완경 2018-10

집에서 인터넷 하다보면 이상해서 winbox에 들어가봤더니 이상한짓을 해놨더라고요,, 제가 만들어 놓은 스케쥴러는 다 지우고 비트코인 마이닝 같은걸 시켜 놓은거 같더라고요 winbox 서비스만 켜놨는데 어떻게 들어 왔는지 모르겠네요,, 정작 성능좋은 메인 서버는 내비두고 좋지도 않는 공유기에다가 헐,,,,

엠브리오 2018-10

ssh 는 정해진 IP에서만 접근하도록 제한시켜 두어야 합니다.
리눅스 서버라면 fail2ban 같은걸 설치해두면 되지만, 미크로틱에서는 불가하므로..

MikroTik이진 2018-10

가능합니다. ssh 접근 아이피 지정도 근데 ssh 에서 설정하는게 아니라 방화벽에서 하는거죠