زمستون با تخفیف های توسینسو گرمه گرمه! زمستون با تخفیف های توسینسو گرمه گرمه!
مانده تا پایان تخفیف
مشاهده دوره ها
  1. توسینسو
  2. سوالات
  3. میکروتیک
  4. لاگ خطای Login Failure در میکروتیک و احتمال هک شدن Mikrotik
1

لاگ خطای Login Failure در میکروتیک و احتمال هک شدن Mikrotik

سلام

وب سایت توسینسو

این لاگ رو الان برداشتم . ایا حمله شده ؟

پرسیده شده در 1395/01/09 توسط
آواتار ♣︎ ɐɥɯɐd ♣︎

14 پاسخ

7

همونطور که دوستان گفتند، قطعا نوعی حمله Brute-force هستش. از اونجایی که این IP به نام یک شرکت تامین کننده IP در چین ثبت شده، میتونید در کنار همه صحبت هایی که دوستان گفتند، با اون شرکت از طریق ایمیلی که براشون ثبت شده مکاتبه داشته باشید و از اونا بخواید تا این موضوع رو رسیدگی کنند و با شناسایی کسی که این حملات رو داشته، جلوی حملات رو از اونجا بگیرند. میتونید در تیکتی که ثبت میکنید، اینطور عنوان کنید که اگه این موضوع رو رسیدگی نکنند و جلوی حملات گرفته نشه، شما مجبورید رنج آدرس اون شرکت رو در سازمانتون بلاک کنید.

بلاک شدن رنجIP برای شرکت های خارجی موضوع مهمی هستش و مطمئن باشید که بر خلاف ایران، بسرعت به درخواست شما رسیدگی میشه.

در موضوع Brute-Force و حدس زدن پسورد همونطور که میدونید اتکر باید یک دیکشنری در اختیار داشته باشه. اگر شما پسوردی رو که انتخاب میکنید، بیش از 8 کاراکتر و پیچیده باشه، اتکر برای درست کردن و یا در اختیار داشتن چنین دیکشنری که بتونه این حجم پسورد رو حدس بزنه و بقول معروف همه پسوردهای پیچیده 1 تا 8 کاراکتر رو ساپورت کنه به فضایی بیش از 50 ترابایت نیاز داره (عددشو دقیقا خاطرم نیست ولی همین حدودا و شایدم بیشتر باشه). میخوام اینو بگم که داشتن و یا تولید چنین دیکشنری ای به چنین فضا و حجمی نیاز داره و تولید اون کار هرکسی نیست.

اگر شما پسوردتون رو بیش از 8 کاراکتر و بصورت پیچیده انتخاب کنید، در واقع با هر کاراکتر اضافه در پسوردتون احتمال موفقیت Brute force رو بصورت وحشتناکی کم کردید و بطرف صفر میبرید. شما فرض کنید که اگه در ازای پسورد 8 کاراکتری 50 تربایت فضا لازم باشه، در ازای پسورد 9 کاراکتری، این عدد به بیش از 500 ترابایت تبدیل میشه. فقط خواستم تاثیر اضافه کردن یک کاراکتر بیشتر به پسوردتون رو بدونید.

پاسخ در 1395/01/10 توسط
آواتار احسان امجدی
0

با سلام 

عالی بود ممنونم خیلی به دردم خورد 

پاسخ در 1398/11/06 توسط
آواتار امید دهدار
3

مهندس nmaxi اسکریپتی که گفتم برای حفظ امنیت بیشتر نه حمله و با نوشتنش چه فرد عادی باشه چه هکر امنیت رو تامین میکنه. از طرفی هر وقت بخوایید امنیت رو در جایی یا چیزی برقرار کنید باید مرحله به مرحله این امنیت رو تامین کنید و تست کنید.

پاسخ در 1395/01/10 توسط
آواتار سارا حمیدپور
5

آدرس آی پی 112.5.77.191 رو با فایروال بلاک کنید (Chain رو input انتخاب کنید و Source Ip Address رو 112.5.77.191 و Action رو Drop) و اینکه یوزر Admin رو Rename کنید یه کلمه دیگه بزارید (و همینطور پسوورد قوی) و یه یوزر به نام Admin درست کنید و سطح دسترسی رو Read Only کنید و یه پسورد پیچیده واسش بزارید

پاسخ در 1395/01/09 توسط
آواتار نوید یحیی پور
7

درود

علاوه بر توضیحات مهندس nmaxi برای جلوگیری از این هک شدن پسورد میتونید اسکریپی بنویسید که اگر کسی خواست از طریق Dic attack پسورد شمار رو هک کنه مثلا بعد از 3 بار تلاش ناموفق خود میکروتیک پسورد رو عوض کنه و پسورد رو در یک فایلی برای admin ایمیل کنه.

پاسخ در 1395/01/09 توسط
آواتار سارا حمیدپور
2

با سلام و درود

با تشکر از همه اساتید که کامل جواب دادن

البته دوست عزیز شما بعدها هم با این چنین مواردی مشابه مواجه میشین پس بهتره سرویس ها و پورت هایی رو که نیاز نداری ببندی.

رول های فایروال رو هم دنبالش باشین و رول مناسب رو بنویسین.

پاسخ در 1395/01/10 توسط
آواتار علی مومنی
0

سلام

این حمله بعید میدونم راه حلی داشته باشه چون سرچ کردم خیلی قربانی گرفته !!!! این اسکریپت رو چیجوری می تونم تهیه کنم ؟؟؟؟

پاسخ در 1395/01/09 توسط
آواتار ♣︎ ɐɥɯɐd ♣︎
1

بله یکی سعی می کنه پسوورد شما رو از طریق brute force attack بدست بیاره

آی پی هم مال کشور چین هست

پاسخ در 1395/01/09 توسط
آواتار نوید یحیی پور
3

سلام

روز بخیر

مدتی پیش بنده هم با این لاگ روبه رو شدم !

اگر دقت کنید Attack از طریق پورت 23 یا همون TelNet هستش .

تنها کاری که کردم :

بستن پورت TelNet بود .

از مسیر :

Ip > Services

حدودا 8 ماه گذشت و دیگه هیچ Attackی صورت نگرفته .

(البته جسارت نباشه nmaxi هم این روش رو کامل توضیح دادن )

امیدوارم موفق باشید :)

پاسخ در 1395/01/10 توسط
آواتار کاربر توسینسو
0

با سلام به دوستان عزيز

لطفا راهنمايي در مورد اين لاگ هاي جديدي که من داشتم . آيا اطلاعاتي دارند دستان راهنمايي کنند .

با سلام به دوستان عزيز لطفا راهنمايي در مورد اين لاگ هاي جديدي که من داشتم . آيا اطلاعاتي دارند دستان راهنمايي کنند . ||https://security.tosinso.com/files/get/99bf31b6-dd5d-4ebc-a10f-97360cea0069||
پاسخ در 1396/07/08 توسط
آواتار عليرضا رجحاني شيرازي
4

الان به زمان Fail شدن Authentication ها تو عکس نگاه کردم، تقریباً هر یک دقیقه یک بار طرف سعی کرده پروسه Login رو امتحان کنه، به نظر من توسط اسکریپت یا برنامه خاصی حمله نمی کنه فقط یه امتحان سادس

شما کارایی که گفتم رو انجام بدید خطر رفع میشه، همیشه یادتون باشه هک کردن یک سیستم یه هزینه ای داره، هر سیستمی رو میشه هک کرد ولی به چه قیمت؟! هر کسی نمیاد هر سیستمی رو همینطوری هک کنه، طرف 24 ساعت بشینه پای کامپیوتر که چی؟ یدونه میکروتیک روتر رو هک کنه؟

این دوست چینی ما می خواد یکم پسوورد رو با یوزرهای مختلف تست کنه ببینه به راحتی می تونه وارد روتر بشه یا نه

روی میکروتیک از قسمت System بعد users یه یوزر به اسم دیگه بسازید مثلا: itprouser14564 بعد واسش یه پسوورد خیلی قوی بدید مثلاً 12 رقمی (بیشتر بهتر) شامل حرف و عدد و علامت و ... ، بعد سطح دسترسیشو full کنید

بعد یوزر admin رو سطح دسترسی read بدید و پسووردشو یه چیزی بزارید که خودتونم نتونید حفظ کنید!

بعد خودتون باید به روتر با یوزری که سطح دسترسیش full هست login کنید (همون یوزر جدید itprouser14564)

آی پی که گفتم رو هم drop کنید (112.5.77.191)

و در آخر هم اینکه اگه از telnet استفاده نمی کنید از قسمت ip و بعد services ، سرویس telnet رو غیر فعال کنید چون معمولا با winbox کانکت میشیم شما فقط winbox رو فعال بزارید api و www هم نیازی نیست که فعال باشن البته api در زمانی که از اکانتینگ میکروتیک استفاده میشه به درد می خوره

پاسخ در 1395/01/09 توسط
آواتار نوید یحیی پور
0

خدا رو شکر من با تغییر پورت ها مشکلم حل شده از دیشب تا حالا پای روتر خوابیدم حمله ای ندیدم . مرسی

پاسخ در 1395/01/10 توسط
آواتار ♣︎ ɐɥɯɐd ♣︎

پاسخ شما