緣由:
大約在V6.42.1以前的版本因系統存在漏洞問題,導致駭客可以輕易的從遠端竊取管理員登入帳密後登入RouterOS.
目的:
駭客成功駭進去RouterOS之後會修改防火牆設定,藉由NAT封包轉送功能,會對路由器底下的使用者的瀏覽器強制引導轉向去開啟特定的網頁,以達到對使用者的瀏覽器植入惡意插件。
目前發現的狀況會有底下這些地方遭到修改。
1.WEB-PROXY跟Socks被啟用.
2.DNS被修改.
3.NAT裡面的80 PORT 被設定Redirect轉向到Proxy.
4.System裡面的Scripts跟Scheduler被加料.
5.防火牆裡面的filter跟Mangle被加了一堆設定.
6.files裡面多了proxy跟其它沒見過的檔案.
7.管理員帳戶被增加其它陌生帳號.
8.管理員帳戶Allowed address位置被增加陌生的ip設定.
9.ip services裡面的port可能也會被修改.
10.整個系統OS可能被更換成不能更新也不能降版的版本,也可能不能還原設定或是重置.
如何修復:
1.Netinstall重新安裝OS,這樣系統最乾淨。
2.如果實在沒有辦法重新安裝OS的話,只好使用系統更新,把版本更新到最新版。
3.系統在線更新時,如果你的機器Files儲存空間很小,記得先清空Files,否則可能會造成更新失敗而死機(這樣只能用Netinstall救活)。
4.如果在線或離線都更新失敗,這可能是系統已經被改寫成被修改過無法更新的版本所致,這時候只能用Netinstall重新安裝OS.
5.最後記得變更原本的管理員帳號跟密.
以上。
相關資料參考(余老師blog)
www.irouteros.com/?p=338
