Значит скрипт где-то остался висеть

шансов нет поднять - признак дальней дороги ?

Срок жизни коннектов как убавить?

IP-Firewall-Connections-там кнопка есть

Срок жизни коннектов как убавить?

В коннекшн трекинге

tcp-established-timeout по дефолту сутки вроде.

Да, полно соединений таких суточных

шансов нет поднять - признак дальней дороги ?

Со старой системой была… с этой версией нет. Может @jabberd может помочь, но не уверен

Да, полно соединений таких суточных

Угу. А еще у тебя accept established/relatedдля forward где-нибудь высоко сидит.

Вот кстати весьма реально. Был какой-то интервал, когда я запутался, и у меня, вероятно, что-то ушло немеченным

tcp-established-timeout по дефолту сутки вроде.

Мне @Nick_The_First посоветовал до 20 минут уменьшить…

Мне @Nick_The_First посоветовал до 20 минут уменьшить…

На время отладки я бы вообще 30 секунд поставил.

Чтобы не "заниматься любовью" со стейтами)

Но вот ведь в чем дело: есть отдельное правило в мангале - тестовое. Весь траффик с десктопы метится, чтобы по этой метке через определенный маршрут уходило вообще всё. И когда я его меняю, мне 2ip тут же показывает, что я вышел через актуальный маршрут.

Со старой системой была… с этой версией нет. Может @jabberd может помочь, но не уверен

ладно, мот какую местную обезьянку научу хард ресет сделать и настроить инет на нём, потом удалённо тонели подыму, помоему самый разумный вариант, и придётся пароли на всех микротах сменить раз один скомпроментирован :(

ладно, мот какую местную обезьянку научу хард ресет сделать и настроить инет на нём, потом удалённо тонели подыму, помоему самый разумный вариант, и придётся пароли на всех микротах сменить раз один скомпроментирован :(

Хонейпот настрой

И доверенные сети

видимо да, выходные будут шикарные...

И доверенные сети

Это как с баяном про бекапы.

Те кто не ограничивает доступ и те, кто УЖЕ ограничивает. ?

Это как с баяном про бекапы.

Это да… бэкап не мешает. У меня они где только не лежат

Это да… бэкап не мешает. У меня они где только не лежат

Что-то мне подсказывает, что было попадалово?)

Что-то мне подсказывает, что было попадалово?)

К счастью, нет. Но уже начитался как другие попали. Чот не улыбается ехать за 200 км микрот поднимать)) У меня за пару недель в блеклисте 15 тысяч записей накашляло

чота портов понаоткрыто...

Со старой системой была… с этой версией нет. Может @jabberd может помочь, но не уверен

Нет, это к магам и колдунам

PORT STATE SERVICE 80/tcp open http 554/tcp open rtsp 1723/tcp open pptp 2000/tcp open cisco-sccp 8000/tcp open http-alt 8200/tcp open trivnet1 8291/tcp open unknown 8800/tcp filtered sunwebadmin 9500/tcp filtered ismserver

К счастью, нет. Но уже начитался как другие попали. Чот не улыбается ехать за 200 км микрот поднимать)) У меня за пару недель в блеклисте 15 тысяч записей накашляло

Перманентом?

Нет, это к магам и колдунам

Пардоньте

Перманентом?

Угу

Угу

Не забывай, что в список могут попасть и зараженные гадостью пользователи.

Ну или лочить таким сервисные порты только.

Не забывай, что в список могут попасть и зараженные гадостью пользователи.

Не, у меня L2TP-VPN+ айписек для них)

Но вот ведь в чем дело: есть отдельное правило в мангале - тестовое. Весь траффик с десктопы метится, чтобы по этой метке через определенный маршрут уходило вообще всё. И когда я его меняю, мне 2ip тут же показывает, что я вышел через актуальный маршрут.

Ну как там дела?

God там, где перестал подходить пароль, были ещё сервисы открыты кроме винбокса? Я бы проверил все, особенно bandwidth-test.

God там, где перестал подходить пароль, были ещё сервисы открыты кроме винбокса? Я бы проверил все, особенно bandwidth-test.

Там скорее всего слив трафика шел.

счас то что... уже доступа до микрота нет :(

там сча на 80 порту камера висит которая внутри сети, ппц какой то творится

счас то что... уже доступа до микрота нет :(

/tool sniffer посмотри

счас то что... уже доступа до микрота нет :(

Ну если устройство в сети, то может ещё что-то можно поковырять. Или оно взорвалось там?

я ж говорю - доступа до микрота нет, буду завтра пытатся удалённо сбрасывать

пароль не подходит

не

в сети

я ж говорю - доступа до микрота нет, буду завтра пытатся удалённо сбрасывать

Версия все еще уязвимая?

не, 42.7 пишет

не, 42.7 пишет

Гады)

Еще и обновили ?

это я обновлял, неделю назад

Мы одному клиенту контроль возвращали как раз методом обратного эксплойтинга. Правда это было на более ранней версии (где эксплойт в винбоксе)

пароль не подходит

Например, если в сервисах или юзерах ограничить по определенным адресам вход, но пароль не менять, то будет та же самая картина. А вот btest было бы неплохо проверить.

это я обновлял, неделю назад

Т.е., выходит, компрометация была ранее?

видимо да

видимо да

Эх, опрометчиво было обновлять не убедившись.

просто зашёл - увидел старую прошивку, решил что надоб обновить, стандартным апдейтем рос обновил на 42.7 и успокоился

Интернет с модема и почему то порт отваливается каждый день один раз

Интернет с модема и почему то порт отваливается каждый день один раз

И в одно и тоже время

http://papa-admin.ru/mikrotik/132-honeypot-mikrotik.html по этой ссылке сча настраиваю, может кто знает какой публичный сервис по

Это пример для отдельно стоящего маршрутизатора. Если у вас несколько маршрутизаторов, то можно организовать обмен адрес-листами между маршрутизаторами, через скрипт. Еще лучше организовать отделный сервер с honeyd, к примеру, и уже с него подсасывать список на маршрутизаторы.

или самому ваять ?

или кто скриптом рабочим поделится ? чота пукан горит, решил за безопастность взяться :(

God а много у тебя таких устройств скомпрометированных?

первый, я думаю хватит чтоб начать думать об этом

до этого было, но на старых прошивках

или кто скриптом рабочим поделится ? чота пукан горит, решил за безопастность взяться :(

ИМХО, если нет возможности использовать белый список (например часто удаленно работать приходится или адрес динамический), то стоит присмотреться к технике port knocking.

Несколько геморройно в плане коннекта, но зато не надо извращаться со списками.

у меня например работает на тике такой ханипот

полет нормальный, один раз сама попалась )

опять же, это каждый надо индивидуально, а хотелось бы автоматизировать через скрипты

ну то есть убедилась что работает

как проверить, мот тут тож скрипт какой висит ? в стандартных нету, где еще чего поискать ?

афигеь, тока хонейпот запустил - уже 174 записи

Город: Москва Страна: Russian Federation IP диапазон: 212.22.93.0 - 212.22.93.255 CIDR: 212.22.93.0/24 Название провайдера: SRVGAME.RU

Нуиу них же заявлена защита от ддос) это видимо она)

да походу кто то из геймеров в ботнете через него сканят

хотя там весь диапазон...

хотя там весь диапазон...

Скорее всего их сервера заражены ?

суперский пров

Всеже стоит им абузу заслать.

было у кого нить по вачдогу такой глюк ? у меня не на одном микроте заметил

если раньше был настроен и включен - выключаю, а он всё равно отрабатывает

я ещё грохнул адрес - который там был написан - тогда отпустило

Основы я знаю довольно хорошо ;) А вот микротик, не очень.

имеет смысл купить домой микрот и настроить его так, что бы хакер заходя на него умывался слезами) просто практика хорошая, когда настраиваешь на максимум

имеет смысл купить домой микрот и настроить его так, что бы хакер заходя на него умывался слезами) просто практика хорошая, когда настраиваешь на максимум

Да, знаю, купил, но времени не хватает нормально заняться :) Но тут ссылки на хорошие видео накидали, в перерывах поизучаю.

Да, знаю, купил, но времени не хватает нормально заняться :) Но тут ссылки на хорошие видео накидали, в перерывах поизучаю.

ну как по мне, если человек этим не болеет, то спец из него будет средненький, тут как и в программирование, к этому должна быть страсть, иначе толку будет не особо)

ну как по мне, если человек этим не болеет, то спец из него будет средненький, тут как и в программирование, к этому должна быть страсть, иначе толку будет не особо)

может он этим не болеет а просто надо. я вот тачки люблю но как там масло в коробке менять и как там в этой коробке что живет не интересно

может он этим не болеет а просто надо. я вот тачки люблю но как там масло в коробке менять и как там в этой коробке что живет не интересно

ну если он директор предприятия, то да, пример удачный, но если он спец, то наверное тогда лучше поискать что-то другое

я ещё грохнул адрес - который там был написан - тогда отпустило

спс, попробую

имеет смысл купить домой микрот и настроить его так, что бы хакер заходя на него умывался слезами) просто практика хорошая, когда настраиваешь на максимум

а лучше настроить чтобы никто не попал в него.

а лучше настроить чтобы никто не попал в него.

Чтоб быстро убегал?

вопрос из рубрики отфоп, почему нет чата MikrotikRu Offtop ?)

вопрос из рубрики отфоп, почему нет чата MikrotikRu Offtop ?)

зачем городить кучу каналов

зачем городить кучу каналов

очень странный вопрос) иногда разговор уходит в офтоп, люди хотят выяснить какие-то моменты, но тематика отличается от тематики канала, для таких вещей и придумано слово офтоп и соответствующие каналы. иногда людям хочется просто что-то спросить не относящееся к тематике канала, но человек знает, что у данного контингента есть нужная информация или нужный контент и т.д.

очень странный вопрос) иногда разговор уходит в офтоп, люди хотят выяснить какие-то моменты, но тематика отличается от тематики канала, для таких вещей и придумано слово офтоп и соответствующие каналы. иногда людям хочется просто что-то спросить не относящееся к тематике канала, но человек знает, что у данного контингента есть нужная информация или нужный контент и т.д.

ну чт ж давай те теперь созданим кучу каналов узгой тематики а потом сами в них запутаемся))

Сегодня умер CCR1009, продержался почти 3 года. Неожиданно стал отключаться, вздут кондер после БП, но на выходе БП напруга не скачет и всплесков нет. После замены кондера жил целый час, после чего ушел в вечный ребут. Подозрение на память

ну чт ж давай те теперь созданим кучу каналов узгой тематики а потом сами в них запутаемся))

1 канал это куча?) забавно