• О нас
  • Новости
  • Статьи
  • Проекты
  • Вопрос-ответ
  • ...
    ПО РФ (бесплатный)  8 800 700 14 24
    Екатеринбург  8 343 311 08 68
    Заказать звонок
    IPboom
    Технические консультации по выбору оборудования
    8 800 700 14 24 
    (звонок по РФ бесплатный)
    zakaz@ipboom.ru
    0
    0
    0
    Корзина заказа
    • Меню
    • Каталог
      • xPON
        • OLT
        • ONU/ONT
      • Точки доступа
        • Ubiquiti
        • MikroTik
        • Cambium Networks
      • Точки доступа АС
        • Ubiquiti AC
        • Cambium Networks AC
        • Mikrotik AC
      • WiFi
        • Ubiquiti
        • MikroTik
        • FT-AIR
        • Wi-cat
      • AirFiber
      • Антенны
        • Секторные
        • Направленные
        • Всенаправленные 360°
        • Переходники
      • Коммутаторы
        • Ubiquiti
        • Mikrotik
        • BDCOM
      • Маршрутизаторы
        • Ubiquiti
        • Mikrotik
      • Электропитание и PoE
        • Блоки питания PoE
        • Инжекторы
        • Преобразователи
      • Аксессуары
        • Крепления
        • Мачты телескопические
        • Программное обеспечение
        • Кабель
        • Патч-корды
        • Грозозащита
        • Кабельные сборки
      • Уценка
    • Услуги
    • Статьи
    • Настройки
    • Контакты
      • Каталог
        • xPON
        • Точки доступа
        • Точки доступа АС
        • WiFi
        • AirFiber
        • Антенны
        • Коммутаторы
        • Маршрутизаторы
        • Электропитание и PoE
        • Аксессуары
        • Уценка
      • Услуги
      • Статьи
      • Настройки
      • Контакты
      • Новости
      Баннер слева call
      Будьте всегда в курсе!
      Узнавайте о скидках и акциях первым
      Новости
      Все новости
      21 ноября 2021
      Американские маршрутизаторы MikroTik атаковали Яндекс. Крупнейший DDOS в истории. Официальное заявление.
      20 апреля 2021
      Обновление ассортимента абонентских PON устройств
      6 апреля 2021
      Расширение линейки Ubiquiti Airfiber
      Статьи
      Все статьи
      На что обращать внимание при выборе роутера
      На что обращать внимание при выборе роутера
      Как выбрать камеру для удаленного наблюдения
      Как выбрать камеру для удаленного наблюдения
      GPON и GEPON для города, применение и сравнение
      GPON и GEPON для города, применение и сравнение
      Главная
      -
      О компании
      -
      Новости
      -Американские маршрутизаторы MikroTik атаковали Яндекс. Крупнейший DDOS в истории. Официальное заявление.

      Американские маршрутизаторы MikroTik атаковали Яндекс. Крупнейший DDOS в истории. Официальное заявление.

      Американские маршрутизаторы MikroTik атаковали Яндекс. Крупнейший DDOS в истории. Официальное заявление.
      21 ноября 2021
      9 сентября 2021 года компания Яндекс опубликовала подробности произошедшей ранее крупнейшей в истории интернета DDoS-атаки на свои сервисы. Скомпрометированными оказались устройства под управлением RouterOS, ботнет существовал (и существует) на Mikrotik'ах как старых моделей, так и свежих. Совместно с компанией Qrator Labs была отражена рекордная атака в 20 миллионов RPS.
      Тогда ещё безымянному ботнету было дано имя Mēris, что по-латышски означает «чума».

      Mēris отличается следующим:
      • Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено)
      • Атаки ориентированы на эксплуатацию RPS (подтверждено)
      • Открытый порт 5678/TCP (подтверждено)
      • SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя известно, что устройства Mikrotik используют SOCKS4)
      • Для взаимодействия внутри сети используются обратные L2TP-туннели
      На графике показано распределение зараженных по версиям RouterOS.
      meris_botnet.jpg


























      По информации компании Яндекс на них было осуществлено 5 атак с всё возрастающей силой:
      7 августа – 5,2 млн RPS
      9 августа – 6,5 млн RPS
      29 августа – 9,6 млн RPS
      31 августа – 10,9 млн RPS
      5 сентября – 21,8 млн RPS

      Выстояли.

      Для выяснения масштабов и географии обитания было проведено исследование на предмет открытого TCP-порта 5678. Результаты пугающие, в глобальной сети было найдено 328 723 активных роутера, отвечающих на запросы пробы на порту.
      ТОП-9 стран:
      Meris_top9.jpg
      Странное распределение... США с большим отрывом, нет Европы и России.

      Карта географического распределения (чем темнее, тем больше хостов)
      954012fc679a172cde2377f94ce624c6.jpg


      После обращения Яндекса и Qrator Labs в Микротик, производитель признал наличие проблемы и выпустил соответствующее заявление в своём блоге и инструкцию, как обезопасить свой MikrOtik.
      Перевод ниже:


      В начале сентября 2021 года компания QRATOR labs опубликовала статью о новой волне DDoS-атак, исходящих из ботнета, содержащего устройства MikroTik.

      Как мы понимаем, в этих атаках задействованы те же самые маршрутизаторы, взломанные ещё в 2018 году, когда MikroTik RouterOS имела уязвимость, которая была быстро устранена.

      В RouterOS не обнаружено новой уязвимости и вредоносных программ, скрывающихся внутри её файловой системы даже на поражённом оборудовании. Злоумышленник перенастраивает устройства RouterOS для удалённого доступа, используя команды и функции самой RouterOS.

      К сожалению, закрытие старой уязвимости не совсем защищает данные маршрутизаторы. Если кто-то узнал ваш пароль в 2018 году, то простое обновление не поможет. Вы также должны сменить пароль, проверить свой брандмауэр, чтобы он не разрешал удалённый доступ неизвестным лицам, и поискать скрипты, которых вы не создавали.

      Представители производителя пытались связаться со всеми пользователями RouterOS по этому поводу, но многие из них не откликнулись и не следят внимательно за состоянием своих устройств. Сейчас MikroTik ищет и другие решения.

      На данный момент в этих устройствах нет новых уязвимостей. RouterOS недавно прошла независимую проверку несколькими сторонними организациями.

      "Лучший план" действий по защите оборудования

      1. Регулярно обновляйте своё устройство MikroTik.
      2. Не предоставляйте общий доступ к настройкам своего устройства через Интернет. Если необходим удалённый доступ, используйте только безопасный VPN-сервис, например IPsec-подключение.
      3. Применяйте надёжный пароль и даже если он есть, измените его прямо сейчас!
      4. Не думайте, что ваша локальная сеть безопасна. Вредоносное ПО может попытаться подключиться к вашему роутеру, если на нём простой пароль или он вообще отсутствует.
      5. Проверьте конфигурацию RouterOS на наличие неизвестных настроек (см. ниже).

      Совместно с независимыми аналитиками в области информационной безопасности производитель обнаружил вредоносную программу, которая пытается изменить конфигурацию пользовательского устройства MikroTik через компьютер Windows в сети пользователя. Именно поэтому важно незамедлительно установить более надёжный пароль (для предотвращения беспарольного входа в систему или словарной атаки этого вредоносного ПО) и поддерживать маршрутизатор MikroTik в обновлённом состоянии (учитывая, что данный вредоносный софт также пытается использовать упомянутую уязвимость CVE-2018-14847, которая давно устранена).

      Системная конфигурация, которую необходимо найти и удалить:

      • система (System) ⇒ правила планировщика (Scheduler), которые выполняют сценарий Fetch;
      • IP ⇒ прокси-сервер SOCKS (если вы не используете эту функцию или не знаете, зачем она нужна, её необходимо отключить);
      • клиент L2TP с именем «lvpn» или любой незнакомый клиент L2TP;
      • входное правило брандмауэра, разрешающее доступ через порт 5678. 

      Также можно обратиться к своему провайдеру для блокировки следующих адресов, к которым подключаются нижеуказанные вредоносные скрипты.

      Заблокируйте конечные точки туннеля в доменах:

        *.eeongous.com
      *.leappoach.info
      *.mythtime.xyz

      Заблокируйте эти сценарии загрузки в доменах:

       
      • 1abcnews.xyz
      • 1awesome.net
      • 7standby.com
      • audiomain.website
      • bestony.club
      • ciskotik.com
      • cloudsond.me
      • dartspeak.xyz
      • fanmusic.xyz
      • gamedate.xyz
      • globalmoby.xyz
       
      • hitsmoby.com
      • massgames.space
      • mobstore.xyz
      • motinkon.com
      • my1story.xyz
      • myfrance.xyz
      • phonemus.net
      • portgame.website
      • senourth.com
      • sitestory.xyz
      • spacewb.tech
       
      • specialword.xyz
      • spgames.site
      • strtbiz.site
      • takebad1.com
      • tryphptoday.com
      • wchampmuse.pw
      • weirdgames.info
      • widechanges.best
      • zancetom.com

      По сообщениям других пользователей в Интернете, ботнетом также используются следующие домены:

       
      • bestmade.xyz
      • gamesone.xyz
       
      • mobigifs.xyz
      • myphotos.xyz
       
      • onlinegt.xyz
      • picsgifs.xyz 





      Вернуться
      Поделиться
      2023 © IPboom
      620092, г. Екатеринбург, ул. 40 лет ВЛКСМ, 32Г
      zakaz@ipboom.ru  

      Компания
      Помощь
      Информация
      • О нас
      • Новости
      • Магазины
      • Условия оплаты
      • Условия доставки
      • Гарантия на товар
      • Статьи
      • Вопрос-ответ
      • Производители
      ПО РФ (бесплатный)  8 800 700 14 24
      Екатеринбург  8 343 311 08 68
      Заказать звонок
      Мы в социальных сетях:
      2023 © IPboom
      620092, г. Екатеринбург, ул. 40 лет ВЛКСМ, 32Г
      zakaz@ipboom.ru  

      Информация на сайте не является публичной офертой.