Комментарии 92
А как читается это латышское название?
Почему бы владельцам заражённых роутеров не выдавать страничку "ваш роутер скомпромитирован". А то пользователи же и не знают даже, что кого-то дедосят.
И владельцам роутеров объяснить, как проверить- заражен он или нет?
Хотя, если MikroTik уведомлен об этом только вчера- решения пока скорее всего нет.
а даже если и есть - у микротиков нет автообновления. Точнее, технически оно есть, но мне неизвестны публичные адреса для этого, там нужно что-то вписывать руками. Так что даже выпустив новую версию, если не заняться информированием обонентов о критическом обновлении, половина всех устройств получит обновление только через несколько лет..
Компания Яндекс посчитала трафик от вашего роутера подозрительным. Мы вас отключаем?
О том и речь, что если Яндекс не мой ISP, то какое дело моему ISP до того какие проблемы я создаю Яндексу (насколько понимаю трафик генерируется не очень большой).
Поэтому, думаю, никакого отключения платящих клиентов не будет.
У меня микрот например стоит для выдачи ipv6 (v4 - даёт кинетик), ну и как резерв для в4 если основной пров сломается. Если его заблочит -- я это замечу не раньше чем отвалится основной пров, что бывает раз в год, когда автооплата не прошла.
Какой-то ламерский пров у вас - что мешает ему включить на всех своих портах DHCP Snooping или вообще резать весь исходящий трафик по портам DHCP?
Честно говоря уже давно не встречал провайдеров у которых не было бы защиты от dhcp-серверов. В маленькой организации я такое ещё могу представить, но не у провайдера.
У микротиков автообновление можно реализовать через скрипт и запускать его через планировщик заданий. Пример есть, кажется, на сайте с доками самого микротика. Но действительно это надо ручками, галочку поставить негде. Поэтому в сети до сих пор встречаются устройства с прошивками 5.хх
А он заражен? Всмысле был взломан через дыру или посаны просто пароль не поставили.
Хорошая мысль, кстати.
А еще стоило бы как то ограничить продажу микротов "домохозяйкам".
Как вы предлагаете определять уровень квалификации покупателя?
По красным глазам и свитеру летом, с оленями.
Никак, я озвучил только свои мысли.
Навороченный прибор в руках хомяков, опасен как бомба. Что и подтверждается практикой.
Keenetic, как производитель роутеров бытового уровня, в прошивках версии 3.x ввел опцию "автообновление ПО". Сдается мне, в Mikrotik нужна такая же, и включенная по дефолту. Профессионалы её смогут отключить, конечно. Если найдут :).
Как быть если конфиг… замысловатый и обновление что-то где то сломает?
кстати а на какую ветку обновляем?
long-term? stable? testing? development?
микрот регулярно факапит на разных этапах. Я пару раз скатался за 200км, потом отключил "автообновление".
Как вы предлагаете определять уровень квалификации покупателя?
Просто продавать устройства без defconf )
Я честно говоря немного понимаю во всем этом, но микротики меня пугают. Тут недавно была статья с базовой настройкой, от которой у меня пропала охота его покупать. Я лучше по-старинке, люликс и iptables. Надеюсь это лучше, чем микротык в моих руках.
На самом деле в микротиках уже давно есть страница быстрой настройки, которая не сложнее того, что есть в тех же длинк.
Статьи про безопасную настройку микротиков на Хабре - это больше для параноиков.
Как я понимаю страница базовой настройки - это главный враг самому существованию MTCNA.
Без страницы быстрой настройки я себе Nat уже не настрою 🙈
А что не так с настройкой, которую генерирует страница быстрой настройки после полного сброса устройства?
Так это про существующие. А я имел в виду ситуацию покупки нового устройства и первоначальной настройки
2) Множество проблем при активации WiFi, начиная от WPA и заканчивая вещанием MAC.
3) При активации VPN активируются PPTP, SSTP, L2TP.
Он не сложней любой cisco.
У меня стоит микрот, я очень доволен его гибкостью.
А еще стоило бы как то ограничить продажу микротов "домохозяйкам".
Вас бешеный принтер покусал?
Как технически вы предлагаете это сделать?
И выдавать эту страничку на скорости 20-30 млн. запросов в секунду ботам, которые не будут её читать, но будут очень рады, что заставили сервер её сгенерировать? Отличная идея!
Боты, на сколько я понял, не странички грузят. А пользователям странички и так отдаются - просто добавить к ним надпись и ссылку на инструкцию по обезвреживанию.
Так все-таки – взрыв или хлопок?
Пострадали ли какие-либо сервисы Яндекса в результате этих атак? Как вели себя показатели доступности, успешности, прочие KQI?
Атака не повлияла на работу наших сервисов, данные пользователей не пострадали.
Сегодня лежал yandex cloud(было не зайти в админку, 20 минут назад заработал), лежал наш виртуальный сервер на yandex cloud, также у нас свой bid manager ставок для yandex direct и ведется лог ставок рекламных кампаний - с 9 утра на большинстве кампаний в direct показывает нулевые ставки за клик.
У них сегодня с днс проблемы были. Читайте алерты.
Так вот проблемы по какой причине? Продолжалась атака?
А где их можно прочитать? У меня тож седни были проблемы с облаком.
Алиса: нет связи с Интернетом . . .
как интересно - снова микротик в ботнете, а поспрашиваешь знакомых - ни у кого проблем нет.
вам не стыдно такое распространять? давайте лучше циску в таком обвините - примеров можно навалить. так и напишите в заголовке "сервера яндекса под циской участвуют в ддос атаке".
Связана разделегация домена mynetname.net с этой атакой?
У меня неприятные ассоциации... IT-коронавирус? Болезнь и симптомы уже есть, ни носителя ни лекарства (патча) пока нет, никто ничегоне знаети даже не понятно, насколько это серьезно...
А есть ли хэши вредоносных бинарных файлов?
Устройства MikroTik давно в "лидерах" по предоставлению публичных прокси
десятки тыс. socks4 на порту 5678 появились пару месяц назад - из более 150 стран
Интересно, как вы просканили сети, тот же masscan очень быстро лочат на впс за нагрузку и незаконную дея-ть...
Послушайте. Вот я - не домохозяйка, и могу забраться в свои микротики на предмет поковырять и что-нибудь проверить/отключить.
Но я не настолько их фанат, чтобы знать всю внутреннюю кухню RouterOS, и писать скрипты в командной строке по памяти, мне реально не досуг заниматься её изучением до уровня админа.
Все они у меня настроены без вывихов, максимум отключен Winbox
Я думаю, таких пользователей довольно много.
Поэтому был людейбы рад от людей знающих получить методы проверки наличия этой проблемы, включающий хоть что-нибудь кроме смены пароля.
Обновить сбросить, поставить другие пароли и перенастроить заново ведь может не помочь.
Винбокс в свое время просто отключали.
А что отключить сейчас, коль есть такая проблема?
Кажется ботнет растет за счет zero day уязвимости, и пока не совсем понятно где проблема. Для начала нужно перенести все стандартные порты на другие и закрыть доступ к микротику из вне. Если закруть доступ нельзя тогда сделайте простой port knock для открытия порта. Это минимальные действия что приходят в голову.
Основная проблема — неправильная настройка.
port knock можно сделать всегда. Боитесь, что сломают? Используйте PSD.
не думаю что из-за неправильной настройки получилось подмять под себя 200 000 устройств. Явно есть дырка, давайте подождем ответа от самого микротика
«Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью»
У вас есть на примете уже взломанные устройства? Можете сказать какие есть признаки того что у вас в микротике сидит ботнет Meris? Ну кроме того что открыт порт 5678.
Сейчас кнокать, переназначать и закрывать делу не поможет и смысла в этом нет. Этим надо заниматься когда настраиваешь рутер. Input и Forward из WAN закрыты в defconf, а значит у 95 процентов пользователей. Но они в ботнете. Значит это zero day уязвимость в фаерволе или в обход фаервола? Единственное что сейчас может решить проблему: это update от Mikrotik, остальное бессмысленная имитация деятельности.
"Атаки ориентированы на эксплуатацию RPS (подтверждено)" - поясните, пожалуйста. В статье не полностью разобрался.
Вот эта статья о ддос вроде тоже ничего не дала, но гораздо лучше обезьян из сбера.
И я кстати ни разу не удивлюсь если окажется, что никакой уязвимости и вовсе нет, а все эти сотни тысяч микротов просто были криво настроены и торчали в интернет голым задом.
Для распространенности нужно учитывать сколько всего там пользователей интеренена в других странах и сколько в процентном отношении любителей микротика.
Например у нас 1000 челокек пользуется интренетом и из них 100 человек купили микротик, итого 10%. Распространенность 10%.
У них 10 000 челокек пользуется интернетом и из них 200 человек сидит с микротиком, это не в два раза больше, это всего 2% против 10%.
Комментарий из сообщества североамериканских операторов связи:
Mikrotik is a very popular router in small to medium ISPs, running, well, everything.
А как вы их успеваете заблочить? Чисто из-за пайплайнинга, или что-то ещё есть?
Просто припустим большой ботнет начнет качать index.html. как их отфильтровать от пользователей?
И ещё вопрос, как дела предстоят с http2? Там будет атака хуже/лучше?
Не большой сторонник теорий заговора, но где-то проскакивала новость, что РКН "успешно" протестировал блокировку vpn сервисов. Совпадение?
Кроме того, мы направили всю собранную информацию в профильные организации.
А у этих профильных организаций, под которыми, видимо, понимаются борцы с DDoS-атаками, нет ли какой-нибудь ассоциации для координации усилий? Или каждый считает собранные блэклисты своим конкуретным преимуществом, и с другими в общем случае не делится?
Ботнет Mēris: расследуем крупнейшую DDoS-атаку в истории интернета