Czy mój Mikrotik został zhakowany?
Każdy producent sprzętu sieciowego boryka się z problemami związanymi z bezpieczeństwem, nie inaczej jest w przypadku Mikrotika. W ostatnich miesiącach spora część routerów wystawionych do Internetu została przejęta przez boty bądź cyberprzestępców. Producent wydał już łatki bezpieczeństwa naprawiające szereg podatności, jeżeli jeszcze ich nie zainstalowałeś, to zrób to koniecznie.
Czy zostałem zhakowany?
Dzięki użytkownikom z Mikrotik Polish Group przygotowałem opis najczęściej spotykanych modyfikacji po włamaniowych, czyli co należy sprawdzić, aby upewnić się czy nasze urządzenie zostało przejęte przez cyberprzestępców.
Co należy sprawdzić:
- Files i plik Mikrotik.php, jeżeli jest to zostałeś zainferkowany
- Skrypty – sprawdź czy nie ma, żadnych podejrzanych skryptów, które np. pobierają plik w punktu wyżej
- Scheduler – w polu on Event możemy także ustawiać skrypty
- Logs – jeżeli po kliknięciu widzisz tylko jedną linię logu, to może oznaczać, że Twój router jest koparką kryptowalut
- Services – domyślnie usługi są włączone, ale sprawdź na jakich portach działają, jeżeli inne niż fabryczne, to może oznaczać kłopoty.
- IP Socks – domyślnie powinno być wyłączone
- Serwer Radius – najczęściej używany do zmiany Mikrotika w koparkę kryptowalut, domyślnie jest wyłączony
- Web Proxy – jak wyżej, domyślnie jest wyłączone
- Users – sprawdź, czy nie pojawił się użytkownik, którego sam nie tworzyłeś.
- Firewall – dużo zależy od konfiguracji jaką miałeś, ale warto zobaczyć czy nie ma wyłączonych reguł np. na dropowanie niezdefiniowanych usług/portów/adresów.
Podsumowanie
Zabezpieczenie routera dostępnego po publicznym adresie IP, powinno być pierwszą czynnością jaką zrobisz po wyciągnięciu Mikrotika z kartonu. Boty skanujące sieć pod kątem podatnych urządzeń działają bardzo szybko, a sam RouterOS domyślnie przychodzi bez hasła. Jeżeli nie wiesz jak prawidłowo zabezpieczyć swój router zapoznaj się z metodami, które ja stosuje.
Polecany sprzęt
Z własnego doświadczenia mogę wam polecić poniższy sprzęt, z podziałem na ewentualne przeznaczenie routera.
Do domu i małej firmy(SOHO): hAP AC Lite , hAP AC, RB4011, RB260GS, RB2011
LTE: SXT LTE kit, SXT LTE6 kit, LHG 5, LHG LTE kit
Extender/Repeater: mAP lite, mAP
POE: hEX PoE
LAB: hEX lite
Średnia/Duża firma: CCR1036-12G-4S