MikroTik - hacknutý router rozesílá spam a http požadavky

MikroTik - hacknutý router rozesílá spam a http požadavky

Dobrý den,

bohužel nás taky ve firmě postihlo hacknutí našeho hlavního routeru mikrotik, které se v poslední době hodně rozmohlo. Ve Scripts byl umístěn škodlivý php skript a bylo nastaveno ve Scheduler, aby se spouštěl. Provedli jsme upgrade FW a změnu hesla a odstranění plánované úlohy a toho skriptu.

Tím jsme se domnívali, že je vše ok, ale pak se na nás obrátit náš ISP, že i naší IP adresy dochází ke spamování na jejich SMTP server na portu 25 a dále že byli upozorněni, že přes HTTP port 80 a HTTPS port 443 je odesíláno hodně požadavků na web account.sonyentertainmentnetwork.com a auth.api.sonyentertainmentnetwork.com.

Přes Torch jsem diagnostikoval, že požadavky jsou skutečně na portech 25, 80 a 443 posílány z mikrotiku. Přidal jsem drop pravidlo na odchozí komunikaci na těch portech do firewallu a nechal to logovat.

V logu se pak objevily záznamy typu:
output: in:(unknown 0) out:ether1, proto TCP (RST), 192.168.10.22:59366->52.49.6.231:80, len 40
atd.

Už fakt nevím kde hledat problém, vypadá to jak kdyby byl mikrotik někým řízen vzdáleně, ale všechny IP services jsou zakázány kromě winboxu, ten je navíc na jiném portu, nastaveno nové heslo a v logu žádné přihlášení kromě našeho není.

Zkusil jsem i provést zálohu, reset a pak nastavení obnovit a situace je stále stejná. Netinstall moc dělat nechci...

Moc prosím o jakoukoliv radu jak to vyřešit. Předem moc díky
Další části článku

Komentáře

Vaše reakce na MikroTik - hacknutý router rozesílá spam a http požadavky

Reference

Podívejte se na naše reference

Prohlédnout

Aplikace

Podívejte se na naše aplikace

Prohlédnout

Co umíme?

Podívejte se co umíme

Prohlédnout

Co umíme?

Vytváříme sofistikované aplikace pro náročné

Od webových aplikací přes android až po převodové můstky či složité informační systémy.

Podívejte se k nám

Tento web používá soubory cookie. Dalším procházením tohoto webu vyjadřujete souhlas s jejich používáním.. Více informací zde.