NVR ломают.

[Дмитрй]

Добрый вечер уважаемые! Проблемы год не было. И вот опять. Ломают NVR с портом 34567 ( порт поменял, пароль тоже. Не помогает !)
Облако включают, PPOE активируют. Может кто то подскажет, каким способом заходят? Может на микротике правила прописать на какие нибудь порты? Может кто в теме ? Спасибо

[Дмитрй]

Самое интересное, отключил от внешнего мира ( интернета ) все равно творятся чудеса) что то видимо в прошивке)\

[S@rge]

Посмотрите, может на NVR какой-нибудь telnet включился (попробуйте постучаться на 23 порт, а лучше просканировать все его открытые порты тем же nmap-ом, например) и по upnp открылся порт на роутере - вот через него и могут ломать.

На микротике много чего прописать можно (например, доступ к порту только с определенных IP адресов), но сначала лучше выяснить как именно злоумышленники доступ получают. Попробуйте логи микротика почитать - возможно, так понятней станет.

[Рустам]

Возможно что его уже взломали и поменяли прошивку на заражённую. Давно как-то была новость, что одна из крупнейших ботнет сетей была построена на взломанных и перепрошитых видеорегистраторах.

[karadjia]

Ломают NVR с портом 34567 .....Может на микротике правила прописать на какие нибудь порты?

У Вас есть микротик а Вы им ....гвозди в стену забиваете.......
Не зная какая модель конкретно у Вас нельзя полноценно что-то советовать. Будем отталкиваться от общих минимальных возможностей средней RouterOS

Самое интересное, отключил от внешнего мира ( интернета ) все равно творятся чудеса) что то видимо в прошивке)\

Что говорят про баржоми и почки наверное знаете - тут только полная перепрошивка со стиранием поможет. А заходят просто. При взломе прописывается доп. учетка с правами админа. и портом входа. По дефолтным настройкам открыты 8728 8729 - мобильный winbox, 21, 22, 23, 443 и сам winbox 8291 c www 80 Зайти можно по любому.
Теперь отвечу по порядку.
Ничего прописывать сейчас не надо. Сейчас нужно понять по каким каналам Вас взломали и управляют. В RouterOS есть много инструментов для этого.Что не хватает(инструментов) можно создать - дописав правило или скрипт.
Из стандартных
1. Конечно же LOG (панель управления) - там Вы сможете посмотреть все действия кто, когда и как. Правда LOG обнуляется при перезагрузке. Если увидите что-то подобное fetch: file 'mikrotik.php' downloaded - Ваше железо взломано.
2. IP-Firewall-Connections - здесь полный список ВСЕХ клиентов работающих в Вашей сети и пользующихся трафиком с помощью RouterOS
Тут мы видим (слева на право)
Src - внутрений адрес и порт клиента
Dst - внешний адрес и порт обращения
Далее тип протокола, активность и трафики.
Это все нужно для контроля всех клиентов - чтобы понимать кто и куда вообще ломится и ходит. В общем в Вашей ситуации не главное, но знать и контролировать это надо.
3. system script - собстенно отдел для скриптов. Как Ваших так и чужих.
Или покороче все вышенаписанное
Проверяем, что активны drop правила в IP – Firewall.
Проверяем socks, должен быть отключен и порт должен быть по умолчанию – 1080.
Проверяем наличие левых скриптов в System – Scripts и System – Scheduler.
Проверяем наличие файла miktorik.php
Делаем /export в терминале и проверяем конфигурацию глазами.
Писать можно много - но это основное и обобщенное.
Далее - скачиваем с сайта микротика https://mikrotik.com/download нужную Вам последнюю прошивку и прогу Netinstall
Далее по этой статье https://www.technotrade.com.ua/Articles ... covery.php выполняем рекомендуемое.
Далее закрываем 53 порт и пишем доп. правила в фаерволе







Далее закрываете все неиспользуемые порты в IP-Services Оставшиеся нужными Вам - переиминовываем. в другие значения
Далее при удаленном использовании winbox ОБЯЗАТЕЛЬНО прописываем адреса с которых разрешено и нивкоем случае не разрешаем всем.
Вкратце все.
Полное и расширенное - это внимательно читать мурзилку на RouterOS от микротик. Ну и серфить форумы микротик по поводу - взлом и защита микротик.
Удачи.
ППС
У Вас в руках не плохое железо. И только Вы можете сделать из микротика дырявую кастрюлю или превратить его в танк.
По умолчанию (заводские настройки) микротик - кастрюлька с очень тонкими стенками.......Выводы делайте сами.

[Дмитрй]

прошивки менял, зачистку конфига тоже делал. В чем может быть проблема? микротик настроен нормально, скриптов нет. Порты не стандартные, все,что нужно закрыто правилами и дропами. Есть подозрение, что недавно winbox с официального сайта скачал и поставил. Может быть от туда все. Но проблема получается в регистраторе! Как может кто то заходить, когда он отключен от интернета???

[AlienP666]

Там просто сидит скрипт, который выполняет себя периодически, а вам со стороны кажется, что кто-то подключается. Единственный правильный вариант зачистки рега - такой же как и с микротиком. Снять дамп, зачистить все на флеше, залить чистую прошивку с восстановленным бутом и ID. Самый простой вариант, но не гарантированный - просто обновить прошивку.

[karadjia]

прошивки менял, зачистку конфига тоже делал...... скриптов нет. Порты не стандартные, все,что нужно закрыто правилами и дропами. Есть подозрение, что недавно winbox с официального сайта скачал и поставил. Может быть от туда все. Но проблема получается в регистраторе! Как может кто то заходить, когда он отключен от интернета???

Еще раз повторюсь - просто перепрошить это просто поменять управляющую программу. Вы не трогаете остальные разделы такие как флеш, внутренняя память. А именно там пытаются сохранится сторонние скрипты. Только полное стирание и перепрошивка - что возможно только через Netinstall или программатор. Это касается микротика и если скрипт там.Проверьте IP-Firewall-Connections и по IP регистратора поймете куда Ваш рег ломится. Если скрипт циклический по времени - пропишите правило типа IP рега - все подключения этого IP - сохранить лог-адрес/место сохранения. Иначе (без указания стороннего места сохранения Вы рискуете потерять лог при перезагрузке). И через допустим сутки Вы будете точно знать куда и как и кто ломился Ваш или на Ваш рег.
Хоть отключайте весь инет - скрипт-скрипты уже сидят в памяти и именно он-они выполняют то что Вам не нравится и не устраивает. А то что не нашли их это не значит что их там нет - плохо или не там искали.....
А по регу то все рекомендации уже дали

[karadjia]

Дополню к вышенаписанному.
Кстати - скрипт в микротике может чудесно управлять сторонними устройствами как внутри сети так и за натом- то есть снаружи (инет)
В конце концов отключите-отделите лан рега от остальной сети. И тогда уж точно найдете виновника. Или рег сам, или стороннее устройство все это делает.

[Дмитрй]

Дополню к вышенаписанному.
Кстати - скрипт в микротике может чудесно управлять сторонними устройствами как внутри сети так и за натом- то есть снаружи (инет)
В конце концов отключите-отделите лан рега от остальной сети. И тогда уж точно найдете виновника. Или рег сам, или стороннее устройство все это делает.

Уже пробовал< сеть на реге 192.168.1.10 на камерах тоже DHCP ОТКЛЮЧИЛ, все по статике. Минуя микротик все было вставлено в неуправляемый хаб. В регистраторе скрипт какой то сидит видимо! Микротик тут не причем. Через произвольное время начинают происходить действия с включением PPOE и облаком! Начинает пищать рег! Тревоги по всем каналам. После перезагрузки уходит в дефолтные настройки.

[Дмитрй]

Дополню к вышенаписанному.
Кстати - скрипт в микротике может чудесно управлять сторонними устройствами как внутри сети так и за натом- то есть снаружи (инет)
В конце концов отключите-отделите лан рега от остальной сети. И тогда уж точно найдете виновника. Или рег сам, или стороннее устройство все это делает.

Уже пробовал< сеть на реге 192.168.1.10 на камерах тоже DHCP ОТКЛЮЧИЛ до этого все по DHCP работало и пул адресов был 110.100.100.... . Минуя микротик все было вставлено в неуправляемый хаб ( интернета не было, только камеры и регистратор ). В регистраторе скрипт какой то сидит видимо! Микротик тут не причем. Через произвольное время начинают происходить действия с включением PPOE и облаком! Начинает пищать рег! Тревоги по всем каналам. После перезагрузки уходит в дефолтные настройки.
Время на регистраторе менял, год 2030 ставил - не помогло! Думал, что может скрипт запускается по времени или дате. но нет((

[AlienP666]

Тогда делайте чистку и после опять проверяйте. Прошивки используйте только с официалов.