دانلود شدن فایل مشکوک در میکروتیک
با سلام.
من یک عدد روتربرد میکروتیک 951 دارم.توی لاگش میبینم که این پیام رو مینویسه : fetch: file "7wmp0b4s.rsc" downloaded
یه دونه فایل به همین نام هم توی Files دیده میشه.در ادامه هم این لاگ ثبت میشه : script error: expected command name (line 1 column 1)
میخواستم ببینم این چی هست و برای رفعش باید چیکار کرد.
ممنونم.
8 پاسخ
با سلام
خدمت شما
ممنونم.
همه موارد رو به اخرین ورژن موجود در سایت میکروتیک به روز رسانی کردم اما همچنان همون روال داره تکرار میشه.
خیلی خیلی ازتون ممنون.واقعا لطف کردین و وقت گذاشتین.
توی system>scheduler رو چک کردم یه ایتم فعال اونجا بود.اون رو غیرفعال کردم تا در ادامه لاگ رو چک کنم که ایا باز هم تکرار خواهد شد یا نه و تا اینجا دیگه این دانلود و fetch شدن رو ندیدم توی لاگ.
مورد عجیب واسم ساخته شدن این scheduler هست.چون مدتهاست پورتهای ورودی برای وینباکس و وب رو تغییر دادم و پورت ناکینگ راه اندازی کردم برای ورود به روتر.محدودیت دسترسی به وب و وینباکس رو هم گذاشتم روی IP های شبکه داخلی.سرویسهایی مثل تلنت و SSH رو هم چون باهاشون کاری نداشتیم غیرفعال کردم که خیالم راحت باشه.
البته یه موردی که الان به ذهنم رسید این هست که قبل از من یه نفری اینجا بوده و یه مدت IP استاتیک هم داشتند برای کارهاشون ممکنه اونموقع اتک خورده باشن و این مورد از بیرون فعال شده باشه چون میگفتند یه دوره ای خیلی شدید مصرف اینترنتشون بالا رفته بوده اونزمان و ممکنه نتونستن امنیت کاملی رو برقرار کنند.جالب هست که این مدت خیلی کم این scheduler فعال بود ولی از یکی دو روز پیش تایم تکرارش بسیار زیاد شد که دیگه من دیدمش.
میتونید یه تصویر از لاگ روتر بذارید اینجا؟
آپگرید عادی انجام دادین و یا اینکه از طریق NetInstall انجام دادینش؟
آپگرید عادی کد هایی که Attacker روی سیستم اجرا کرده رو از بین نمیبره.
یه مورد دیگه هم که باید چک بشه اینه که آیا در قسمت Script روتر چیزی هست یا نه. چون بعضی اوقات یه اسکریپت اونجا گذاشته میشه که تا روتر به طور کلی از وجود اون پاک نشه، این کار تکرار میشه.
اول آپگرید معمولی انجام دادم و بعدش با نت اینستال.ااون قسمت اسکریپت رو هم چک کردم چیزی نبود اونجا.اما همچنان ادامه داره این مساله
در ضمن تشکر بابت پیگیری و کمکتون
خب توی لاگتون مشخص نیست که کسی SSh یا تلنت به روترتون زده یا نه.
در واقع در چند حالت اتکر میتونه این فایل رو دانلود و اجرا کنه. چون fetch یک دستوری هست که فقط باید از طریق ترمینال اجرا بشه پس قطعا فردی که داره اتک میزنه یا با استفاده از یک اسکریپت که توی میکروتیک کار گذاشته شده، یا با اتصال از بیرون توسط روبات یا هرچیز دیگه ای و اجرای دستور fetch و یا ایجاد یک scheduler یا از طریق API و موارد دیگه که اجازه دسترسی ریموت به سیستم میکروتیک داده میشه.
مواردی که میگم رو یه چک بکنید:
- از قسمت system>scheduler نگاه کنید چیزی وجود نداشته باشه
- موقعی که این فایل داره دانلود و اجرا میشه، ببینید از قسمت system>users>active users بجز شما کسی فعال نباشه
در نهایت اگه این موارد رو دیدین که کسی لاگین میکنه به سیستمتون، بعد از اینکه پسورد رو عوض کردین، آی پی کسی که به سیستمتون لاگین کرده رو هم توی فایروال بلاک کنید و پورت اتصال به میکروتیک رو هم از منوی ip>services تغییر بدین. البته امکان اینکه یک Scheduler کار گذاشته شده باشه بیشتر هست اما در هر صورت پسورد میکروتیک و پورت ها رو تغییر بدین
سلام
اگه اشتباه نکنم، این مشکل حدود 5 سال پیش روی RouterOS 6.36 رخ داده بود و کارش هم ماین کردن کریپتوکارنسی ها بود روی روتر ها.
ورژن RouterOS و همچنین RouterBoard رو آپگرید کنید باید مشکلتون حل شه