Spyware on Mikrotik
สวัสดีครับ วันนี้มีเรื่องมาเล่าสู่กันฟัง
update 5/1/2018 ตอนนี้ spyware ได้พัฒนาความรุนแรงขึ้นโดยไม่สามารถ RESET หรือ Netinstall ลงไปได้ครับ
อาการ login winbox อาจได้ แต่สิทธิ์เป็น read only แก้ไขค่าอะไรไม่ได้,mikrotik reboot บ่อย
ข้อมูลล่าสุดตอนนี้
28/4/2018 กรณีเจอตัวแรงไม่สามารถแก้ไขได้เลยครับ คำแนะนำจาก mikrotik
On 3/30/18, 6:05 AM, "MikroTik" <no-reply@mikrotik.com> wrote:
>Hello,
>
>It has come to our attention that a rogue botnet is currently scanning
>random public IP addresses to find open Winbox (8291) and WWW (80) ports,
>to exploit a vulnerability in the RouterOS www server that was patched
>more than a year ago (in RouterOS v6.38.5, march 2017).
>
>Since all RouterOS devices offer free upgrades with just two clicks, we
>urge you to upgrade your devices with the "Check for updates" button, if
>you haven't done so within the last year.
>
>More information can be found here:
>https://forum.mikrotik.com/
>
>Best regards,
>MikroTik
กันไว้ดีกว่าแก้เนื่องด้วยทาง mikrotik แนะนำเพิ่มเติมให้เปลี่ยน port winbox และ up ROS ล่าสุด
1.กำหนด password หรือสร้าง user สิทธิ์ Full กำหนด password ใหม่ ปิด admin เดิม
2.ปิด service port 21,22,23
ผมทำแค่ 2 อย่างนี้ mikrotik ของที่ร้าน เคยเซตให้ลูกค้า หรือใช้เทสเอง ยังไม่โดนซักตัว
เต็มที่ก็เห็นว่าใน log มีพยายามแฮกเข้ามา แต่ login failure
3.เปลี่ยน port 8291 และ 80 เป็น port อื่น
4.firewall drop ip ที่พยายามเข้า 21,22,23
อธิบายคร่าวๆ จุดที่ต้องเปลี่ยนคือสีแดง
1.my_site_mikrotik คือชื่อของ mikrotik ที่ต้องการเช่น THE1Condo
2.ตัวสคริปท์จะเปลี่ยน user admin เป็น admin_admin และกำหนด password ให้ยากเข้าไว้
3.กำหนด user ใหม่อีกชื่อสิทธิ์เท่า admin password ยากเช่นกัน (รูปแบบเป็น <AZ><az><09><symbols>)
4.เปิด service port และเปลี่ยน port www และ winbox ตรง 89 กับ 1928 หรือตัวตำแหน่งที่ไฮไลท์แดง อย่าเอาตามผมนะครับ
/system identity set name=my_site_mikrotik
/user set admin password="A{di&1(J" name=admin_admin
/user add name=admin_admin2password="=p5Y[wj0" group=full
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www port=89
set ssh disabled=yes
set api disabled=yes
set winbox port=1928
set api-ssl disabled=yes
หลังจากเปลี่ยน port เวลาเข้าผ่าย ip หรือ cloud ของ mikrotik จะต้องใส่ port ตามด้วย
เช่น 192.168.100.1:1928 ไม่เช่นนั้นจะเข้าไม่ได้ครับ
วางสคริปท์นี้หลังจากที่สั่ง system>reset เอาค่า default ออก ย้ำว่าก่อนที่จะต่อเนตให้ mikrotik ครับ
ssh bruteforce protection ตามด้านล่างยังไม่ต้องทำก็ได้ครับ
อันนี้ทาง webmaster แจ้งมาว่ากรณีไม่ทำตามด้านบนแล้วโดนแฮ็ค
การรับประกันไม่ครอบคลุมนะครับ ตามเงื่อนไขข้อ 5
5.สินค้าถูกใช้อย่างผิดวิธี หรือเกิดอุปัติเหตุกับสินค้า
กรณีส่งซ่อมมีค่าใช้จ่าย ลูกค้าต้องจ่ายเองครับ
จริงๆอยากรับประกันตรงจุดนี้ให้ แต่ถ้าตัวเดียวมาเคลมหลายๆรอบ มันไม่คุ้มครับ
เหมือนเราซื้อบ้านเค้ามีประตูหรือกุญแจให้ล็อค แต่เราเปิดประตูหรือไม่ล็อคพร้อมให้คนนอกเข้าออกได้ตลอดเวลา
สคริปท์เท่าที่เจอจะมี 2 ระดับ
-สคริปท์ที่ยังปราณีอยู่ จะตั้งให้เหลือ hold for reformat ตัวนี้จะสามารถ netinstall ได้ กล่าวคือ แก้ไขตามบทความนี้ได้ครับ
-สคริปท์ที่ไม่ปราณี มันจะ เปลี่ยนเวลา hold for reformat,ปิด putty,ปิด LED,ปิด log,เปลี่ยนสิทธิ์ admin เป็น read สร้าง sys เป็น full,set boot nand-only,เปิด silent Boot(ปิดเสียงลำโพงบนบอร์ด) ,ใช้ Procted Routerboot (ไม่ให้แก้ไขค่า)
ตัวล่าสุดสามารถปรับระดับการกด Reformat Hold Button ได้,เปลี่ยน password system ทุกๆ 5 วินาที
อันนี้ที่เขียนเพิ่มไว้
http://www.wifi4you.com/Amp/Soft-RESET--Hard-RESET-Mikrotik.html
ที่จริงอาการนี้ก็เห็นตั้งแต่เดือนกรกฏาคม 2560 แล้ว แต่ผมไม่เขียนเพราะไม่คิดว่าจะเจอเยอะ
จนมีลูกค้าเจอแล้วแจ้งว่า Mikrotik เสีย จะขอเปลี่ยนตัวใหม่
ทั้งๆที่ มันก็ไม่ได้เสียครับ
ครั้งแรกที่เจอ ผมเจอกับ RB1100AHx2 ลูกค้าแจ้งว่ามัน backup คอนฟิกไม่ได้
เลยไปไล่ๆดูอาการ
อาการที่พบ
-Mikrotik มีอาการ Restart บ่อย
-คอนฟิกที่สร้างไว้ รวนหรือผิดเพี้ยนจนเดิม
-CPU ทำงานหนัก หรือพูดง่ายๆคือมันกินทรัพยากรสูงขึ้น
เท่าที่คุยกับลูกค้าเจออาการที่แจ้งว่ามัน Reboot หรือ Restart บ่อย
ถ้ารุ่นเล็กๆ ถี่เลย ถ้าเป็นรุ่นใหญ่จะนาน 3-4 ชม.หรือเป็นวัน
ผมถามลูกค้าแค่ว่าให้ login เข้า winbox เช็ค
1.IP>Service 21,22,23 เปิดอยู่ใช่หรือไม่
2.System>Script มี Script ชื่อ system Run Count ทุกๆ 1 วินาที ใช่หรือไม่
CCR ก็ CCR เถอะ Reboot เป็นว่าเล่น
สาเหตุ
-ไม่ปิด service ftp(21),ssh(22),telnet(23) เลยโดน spyware เจาะ
***เจอกับ WAN ที่เป็น PPPoE สำหรับ WAN ที่เป็น DHCP ผมยังไม่เจอ
วิธีป้องกัน
ก่อนต่อเนตให้ PPPoE WAN กำหนด user/password ใหม่ ปิดสิทธิ์ admin หรือลบไปเลย อันนี้สำคัญมาก
ปิด Service เหลือแค่ winbox กับ www ครับ
อันไหนจะใช้ค่อยเปิดใช้งาน
เอาชัวร์อีกขั้นก็ firewall block access ผ่าน port 21,22,23
วิธีป้องกันเหมือนมันง่ายๆครับ (จริงๆก็ง่ายนั่นแหละ แต่ถ้าโดนแล้วล่ะ หายนะเลย)
ตัว spyware สร้างความเสียหายหนักแล้วครับ ทำให้ mikrotik ใช้งานไม่ได้เลย
อย่าให้มันติดครับ
เดิมๆ firewall ของ mikrotik มันบล็อคไว้อยู่แล้ว เช่น กรณีที่ใช้ default ของ mikrotik
ดังที่ผมกล่าวว่า WAN ที่เป็น DHCP หรือ Static ยังไม่เจอ spyware ตัวนี้เจาะได้
สังเกตุง่ายๆ
-System>Script มี Script รันทุกๆ 1 วินาที ลบแล้วกลับมา
-System>Scheduler มี Script สั่งรัน Script ด้านบน ลบแล้วกลับมา
-File List สร้าง txt ไฟล์ code0.txt,intru.txt,jail.txt
-Log หาย สังเกตุโดยเข้าไปดูใน Log จะไม่มีอะไรอยู่เลย ตัว spy มันปิด ไม่ให้ตาม
-ที่ว่าอันตรายคือ มันเปิด ftp,ssh,telnet ถ้าดักข้อมูลเก็บลงใน mikrotik มันเข้ามาเอาออกไปได้ง่ายๆเลยครับ
เจอแบบนี้ผมแนะนำให้
1.System>Reset Configguration เริ่มคอนฟิกใหม่ทั้งหมด
2.netinstall ลง ROS ล้างใหม่หมดเลย เอาชัวร์ๆก็ล้างเลยครับ
ทั้งสองวิธี ทำเสร็จอย่าลิมเปลี่ยน user/password และเปลี่ยน port ด้วย ไม่งั้นก็กลับมาเหมือนเดิม
กรณีไม่อยากคอนฟิกใหม่
1.ให้ Disable WAN ที่เป็น Internet ออก แล้ว Reboot
2.ลบ Script และ Scheduler ออก 2 จุด
3.ไปที่ File list ลบ code0.txt,intru.txt,jail.txt ออก
4.ไปที่ Log เปิด Log
5.ปิด Service 21,22,23 เหลือแค่ winbox กับ www
6.กำหนด user/pass ใหม่และปิด user admin ซ่ะ
ลอง export script ดูว่ามีอันไหนแปลกๆอยู่หรือเปล่า
ถ้าไม่มีค่อยเปิด WAN แล้วคอยดูอาการต่อไป ตัวที่ผมเจอลองทำแบบนี้แล้วหาย
อีกวิธีหนึ่งที่เห็นเค้าทำแล้วแจ้งว่าหายคือ
สร้าง user ชื่อ system แล้วไปลบ scrip และ schedule <<< อันนี้ลองดูครับ
สำหรับวันนี้สวัสดีครับ
update 28/4/2018