RouterOS管理員帳號密碼漏洞事件

緣由:

大約在V6.42.1以前的版本因系統存在漏洞問題,導致駭客可以輕易的從遠端竊取管理員登入帳密後登入RouterOS.

 

目的:

駭客成功駭進去RouterOS之後會修改防火牆設定,藉由NAT封包轉送功能,會對路由器底下的使用者的瀏覽器強制引導轉向去開啟特定的網頁,以達到對使用者的瀏覽器植入惡意插件。

目前發現的狀況會有底下這些地方遭到修改。

1.WEB-PROXY跟Socks被啟用.

2.DNS被修改.

3.NAT裡面的80 PORT 被設定Redirect轉向到Proxy.

4.System裡面的Scripts跟Scheduler被加料.

5.防火牆裡面的filter跟Mangle被加了一堆設定.

6.files裡面多了proxy跟其它沒見過的檔案.

7.管理員帳戶被增加其它陌生帳號.

8.管理員帳戶Allowed address位置被增加陌生的ip設定.

9.ip services裡面的port可能也會被修改.

10.整個系統OS可能被更換成不能更新也不能降版的版本,也可能不能還原設定或是重置.

 

如何修復:

1.Netinstall重新安裝OS,這樣系統最乾淨。

2.如果實在沒有辦法重新安裝OS的話,只好使用系統更新,把版本更新到最新版

3.系統在線更新時,如果你的機器Files儲存空間很小,記得先清空Files,否則可能會造成更新失敗而死機(這樣只能用Netinstall救活)。

4.如果在線或離線都更新失敗,這可能是系統已經被改寫成被修改過無法更新的版本所致,這時候只能用Netinstall重新安裝OS.

5.最後記得變更原本的管理員帳號跟密.

 

這裡有官方提供如何保護路由器與防火牆規則介紹 

以上。

 

 

相關資料參考(余老師blog)

www.irouteros.com/?p=338

 

 

 

本篇發表於 RouterOS。將永久鏈結加入書籤。

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *