بدافزار مریس بلای جان میکروتیک ها



Nature

در اوایل سپتامبر 2021 آزمایشگاه های QRATOR مقاله ای در مورد موج جدیدی از حملات DDoS منتشر کردند که ناشی از یک بات نت شامل دستگاه های MikroTik است.

این بات نت می تواند تمام پهنای باند و منابع روتر میکروتیک شما را استفاده نماید.

ویروس مریس اگر روتر شما از نسخه های قدیمی 2008 استفاده کند بلافاصله روتر شما را هک می کند در غیر اینصورت مدام یوزر و پسورد برای اتصال به روتر شما (بصورت telnet یا winbox) امتحان می کند تا پسورد ادمین روتر شما را پیدا کند و بعد از روتر شما برای آلوده کردن سایر میکروتیک ها استفاده می کند.

برای جلوگیری از آلوده شدن روتر میکروتیک به ویروس Meris چه کنیم ؟

1. بروز رسانی فریم ورک : اگر فریم ورک روتر شما قدیمی است بلافاصله بروز رسانی انجام دهید.

2. تغییر پورت اتصال : در قسمت ip/services پورتهای پیش فرض را عوض کنید که با روش dictionary attack (تست میلیون ها پسوردبا یوزر admin) پسورد شما را حدس زده نشود.

پورت پیش فرض winbox را از 8291 به مثلا 8295 تغییر دهید و بعدا در winbox جلوی ip پورت را اضافه کنید مثلا

192.168.20.20:8295

اگر از telnet استفاده می کنید پورت را از 23 به پورت دیگری مثل 24 تغییر دهید.

اگر از ssh استفاده می کنید پورت پیش فرض را از 22 به مثلا 25 تغییر دهید.

اگر از سایر پروتکل ها استفاده نمی کنید همه را غیر فعال کنید.

3. تغییر پسورد : از پسوردهای ساده استفاده نکنید و حتما پسورد را بصورت ترکیبی از حروف و اعداد و کاراکتر انتخاب کنید.

4. قطع ارتباط روتر با اینترنت : دسترسی به winbox و telnet و … را به آی پی های شبکه داخلی خود محدود کنید.

از کجا بفهمیم که قبلا روتر ما به این بد افزار آلوده شده است یا خیر ؟

1. در قسمت System/script اگر اسکریپت مشکوکی مشاهده کردید همه را غیر فعال کنید.

2. در قسمت system/schedueler اگر اسکجول ناشناسی دیدید غیر فعال کنید.

3. قسمت اینترفیس را چک کنید که یک کانکشن L2TP client named “lvpn” ایجاد شده است یا خیر ؟ اگر هر کانکشن L2TP client ناشناسی مشاهده کردید غیر فعال کنید.

4. در قسمت فایروال Input firewall rule  چک کنید که دسترسی به پورت 5678 داده شده است یا خیر؟ اگر دسترسی داده شده بود غیر فعال کنید

نشانه های اینکه تلاشی برای هک کردن روتر ما انجام می شود چیست ؟

در قسمت log تعداد بسیار زیادی تلاش ناموفق برای اتصال به روتر مشاهده می کنید. که همه بدلیل اشتباه بودن نام کاربری و کلمه عبور ناموفق بوده است. 

نویسنده:وحید قائم مقامی تاریخ: یکشنبه, 10 اکتبر , 21
دیدگاه ها

ارسال دیدگاه