Комментарии 92
А как читается это латышское название?
Почему бы владельцам заражённых роутеров не выдавать страничку "ваш роутер скомпромитирован". А то пользователи же и не знают даже, что кого-то дедосят.
И владельцам роутеров объяснить, как проверить- заражен он или нет?
Хотя, если MikroTik уведомлен об этом только вчера- решения пока скорее всего нет.
а даже если и есть - у микротиков нет автообновления. Точнее, технически оно есть, но мне неизвестны публичные адреса для этого, там нужно что-то вписывать руками. Так что даже выпустив новую версию, если не заняться информированием обонентов о критическом обновлении, половина всех устройств получит обновление только через несколько лет..
Компания Яндекс посчитала трафик от вашего роутера подозрительным. Мы вас отключаем?
У меня микрот например стоит для выдачи ipv6 (v4 - даёт кинетик), ну и как резерв для в4 если основной пров сломается. Если его заблочит -- я это замечу не раньше чем отвалится основной пров, что бывает раз в год, когда автооплата не прошла.
Какой-то ламерский пров у вас - что мешает ему включить на всех своих портах DHCP Snooping или вообще резать весь исходящий трафик по портам DHCP?
Честно говоря уже давно не встречал провайдеров у которых не было бы защиты от dhcp-серверов. В маленькой организации я такое ещё могу представить, но не у провайдера.
del
У микротиков автообновление можно реализовать через скрипт и запускать его через планировщик заданий. Пример есть, кажется, на сайте с доками самого микротика. Но действительно это надо ручками, галочку поставить негде. Поэтому в сети до сих пор встречаются устройства с прошивками 5.хх
А он заражен? Всмысле был взломан через дыру или посаны просто пароль не поставили.
Хорошая мысль, кстати.
А еще стоило бы как то ограничить продажу микротов "домохозяйкам".
Как вы предлагаете определять уровень квалификации покупателя?
По красным глазам и свитеру летом, с оленями.
Никак, я озвучил только свои мысли.
Навороченный прибор в руках хомяков, опасен как бомба. Что и подтверждается практикой.
Keenetic, как производитель роутеров бытового уровня, в прошивках версии 3.x ввел опцию "автообновление ПО". Сдается мне, в Mikrotik нужна такая же, и включенная по дефолту. Профессионалы её смогут отключить, конечно. Если найдут :).
Как вы предлагаете определять уровень квалификации покупателя?
Просто продавать устройства без defconf )
Я честно говоря немного понимаю во всем этом, но микротики меня пугают. Тут недавно была статья с базовой настройкой, от которой у меня пропала охота его покупать. Я лучше по-старинке, люликс и iptables. Надеюсь это лучше, чем микротык в моих руках.
На самом деле в микротиках уже давно есть страница быстрой настройки, которая не сложнее того, что есть в тех же длинк.
Статьи про безопасную настройку микротиков на Хабре - это больше для параноиков.
Как я понимаю страница базовой настройки - это главный враг самому существованию MTCNA.
Без страницы быстрой настройки я себе Nat уже не настрою 🙈
А что не так с настройкой, которую генерирует страница быстрой настройки после полного сброса устройства?
Так это про существующие. А я имел в виду ситуацию покупки нового устройства и первоначальной настройки
Он не сложней любой cisco.
У меня стоит микрот, я очень доволен его гибкостью.
А еще стоило бы как то ограничить продажу микротов "домохозяйкам".
Вас бешеный принтер покусал?
Как технически вы предлагаете это сделать?
И выдавать эту страничку на скорости 20-30 млн. запросов в секунду ботам, которые не будут её читать, но будут очень рады, что заставили сервер её сгенерировать? Отличная идея!
Так все-таки – взрыв или хлопок?
Пострадали ли какие-либо сервисы Яндекса в результате этих атак? Как вели себя показатели доступности, успешности, прочие KQI?
Атака не повлияла на работу наших сервисов, данные пользователей не пострадали.
Сегодня лежал yandex cloud(было не зайти в админку, 20 минут назад заработал), лежал наш виртуальный сервер на yandex cloud, также у нас свой bid manager ставок для yandex direct и ведется лог ставок рекламных кампаний - с 9 утра на большинстве кампаний в direct показывает нулевые ставки за клик.
Алиса: нет связи с Интернетом . . .
как интересно - снова микротик в ботнете, а поспрашиваешь знакомых - ни у кого проблем нет.
вам не стыдно такое распространять? давайте лучше циску в таком обвините - примеров можно навалить. так и напишите в заголовке "сервера яндекса под циской участвуют в ддос атаке".
Связана разделегация домена mynetname.net с этой атакой?
У меня неприятные ассоциации... IT-коронавирус? Болезнь и симптомы уже есть, ни носителя ни лекарства (патча) пока нет, никто ничегоне знаети даже не понятно, насколько это серьезно...
А есть ли хэши вредоносных бинарных файлов?
Устройства MikroTik давно в "лидерах" по предоставлению публичных прокси
десятки тыс. socks4 на порту 5678 появились пару месяц назад - из более 150 стран
Интересно, как вы просканили сети, тот же masscan очень быстро лочат на впс за нагрузку и незаконную дея-ть...
Послушайте. Вот я - не домохозяйка, и могу забраться в свои микротики на предмет поковырять и что-нибудь проверить/отключить.
Но я не настолько их фанат, чтобы знать всю внутреннюю кухню RouterOS, и писать скрипты в командной строке по памяти, мне реально не досуг заниматься её изучением до уровня админа.
Все они у меня настроены без вывихов, максимум отключен Winbox
Я думаю, таких пользователей довольно много.
Поэтому был людейбы рад от людей знающих получить методы проверки наличия этой проблемы, включающий хоть что-нибудь кроме смены пароля.
Обновить сбросить, поставить другие пароли и перенастроить заново ведь может не помочь.
Винбокс в свое время просто отключали.
А что отключить сейчас, коль есть такая проблема?
Кажется ботнет растет за счет zero day уязвимости, и пока не совсем понятно где проблема. Для начала нужно перенести все стандартные порты на другие и закрыть доступ к микротику из вне. Если закруть доступ нельзя тогда сделайте простой port knock для открытия порта. Это минимальные действия что приходят в голову.
Основная проблема — неправильная настройка.
port knock можно сделать всегда. Боитесь, что сломают? Используйте PSD.
не думаю что из-за неправильной настройки получилось подмять под себя 200 000 устройств. Явно есть дырка, давайте подождем ответа от самого микротика
«Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью»
Сейчас кнокать, переназначать и закрывать делу не поможет и смысла в этом нет. Этим надо заниматься когда настраиваешь рутер. Input и Forward из WAN закрыты в defconf, а значит у 95 процентов пользователей. Но они в ботнете. Значит это zero day уязвимость в фаерволе или в обход фаервола? Единственное что сейчас может решить проблему: это update от Mikrotik, остальное бессмысленная имитация деятельности.
"Атаки ориентированы на эксплуатацию RPS (подтверждено)" - поясните, пожалуйста. В статье не полностью разобрался.
Вот эта статья о ддос вроде тоже ничего не дала, но гораздо лучше обезьян из сбера.
И я кстати ни разу не удивлюсь если окажется, что никакой уязвимости и вовсе нет, а все эти сотни тысяч микротов просто были криво настроены и торчали в интернет голым задом.
Для распространенности нужно учитывать сколько всего там пользователей интеренена в других странах и сколько в процентном отношении любителей микротика.
Например у нас 1000 челокек пользуется интренетом и из них 100 человек купили микротик, итого 10%. Распространенность 10%.
У них 10 000 челокек пользуется интернетом и из них 200 человек сидит с микротиком, это не в два раза больше, это всего 2% против 10%.
Комментарий из сообщества североамериканских операторов связи:
Mikrotik is a very popular router in small to medium ISPs, running, well, everything.
А как вы их успеваете заблочить? Чисто из-за пайплайнинга, или что-то ещё есть?
Просто припустим большой ботнет начнет качать index.html. как их отфильтровать от пользователей?
И ещё вопрос, как дела предстоят с http2? Там будет атака хуже/лучше?
Не большой сторонник теорий заговора, но где-то проскакивала новость, что РКН "успешно" протестировал блокировку vpn сервисов. Совпадение?
Кроме того, мы направили всю собранную информацию в профильные организации.
А у этих профильных организаций, под которыми, видимо, понимаются борцы с DDoS-атаками, нет ли какой-нибудь ассоциации для координации усилий? Или каждый считает собранные блэклисты своим конкуретным преимуществом, и с другими в общем случае не делится?
Ботнет Mēris: расследуем крупнейшую DDoS-атаку в истории интернета