• О нас
  • Новости
  • Статьи
  • Проекты
  • Вопрос-ответ
  • ...
    Екатеринбург  +7 343 382 00 51
    Заказать звонок
    IPboom
    Технические консультации по выбору оборудования
     +7 343 382 00 51
    zakaz@ipboom.ru

    0
    0
    0
    Корзина заказа
    • Меню
    • Каталог
      • xPON
        • OLT OLT
        • ONU/ONT ONU/ONT
      • Точки доступа
        • Ubiquiti Ubiquiti
        • MikroTik MikroTik
        • Cambium Networks Cambium Networks
      • Точки доступа АС
        • Ubiquiti AC Ubiquiti AC
        • Cambium Networks AC Cambium Networks AC
        • Mikrotik AC Mikrotik AC
      • WiFi
        • Ubiquiti Ubiquiti
        • MikroTik MikroTik
        • FT-AIR FT-AIR
        • Wi-cat Wi-cat
      • AirFiber
      • Антенны
        • Секторные Секторные
        • Направленные Направленные
        • Всенаправленные 360° Всенаправленные 360°
        • Переходники Переходники
      • Коммутаторы
        • Ubiquiti Ubiquiti
        • Mikrotik Mikrotik
        • BDCOM BDCOM
        • MAIPU MAIPU
        • Huawei Huawei
        • Аксессуары для коммутаторов Аксессуары для коммутаторов
      • Маршрутизаторы
        • Маршрутизаторы Ubiquiti Маршрутизаторы Ubiquiti
        • Маршрутизаторы MikroTik Маршрутизаторы MikroTik
        • Маршрутизаторы Juniper Маршрутизаторы Juniper
      • Электропитание и PoE
        • Блоки питания PoE Блоки питания PoE
        • Инжекторы Инжекторы
        • Преобразователи Преобразователи
      • Серверы
      • Аксессуары
        • Крепления Крепления
        • Мачты телескопические Мачты телескопические
        • Программное обеспечение Программное обеспечение
        • Кабель Кабель
        • Патч-корды Патч-корды
        • Грозозащита Грозозащита
        • Кабельные сборки Кабельные сборки
      • Уценка
    • Услуги
    • Статьи
    • Настройки
    • Контакты
      • Каталог
        • xPON
        • Точки доступа
        • Точки доступа АС
        • WiFi
        • AirFiber
        • Антенны
        • Коммутаторы
        • Маршрутизаторы
        • Электропитание и PoE
        • Серверы
        • Аксессуары
        • Уценка
      • Услуги
      • Статьи
      • Настройки
      • Контакты

      • Новости
      ipboom
      Будьте всегда в курсе!
      Узнавайте о скидках и акциях первым
      Новости
      Все новости
      22 апреля 2025
      Майская акция!
      4 апреля 2025
      Специальное предложение для вашей сети!
      5 марта 2025
      Откройте новые горизонты с маршрутизатором Cisco ASR1002-X!
      Статьи
      Все статьи
      ZFS: Переосмысление традиционной архитектуры хранения данных (ч.2)
      ZFS: Переосмысление традиционной архитектуры хранения данных (ч.2)
      ZFS: Переосмысление традиционной архитектуры хранения данных (ч.1)
      ZFS: Переосмысление традиционной архитектуры хранения данных (ч.1)
      Адрес ЦОД облачного сервиса 1С для РКН
      Адрес ЦОД облачного сервиса 1С для РКН
      Главная
      -
      О компании
      -
      Новости
      -Американские маршрутизаторы MikroTik атаковали Яндекс. Крупнейший DDOS в истории. Официальное заявление.

      Американские маршрутизаторы MikroTik атаковали Яндекс. Крупнейший DDOS в истории. Официальное заявление.

      Американские маршрутизаторы MikroTik атаковали Яндекс. Крупнейший DDOS в истории. Официальное заявление.
      21 ноября 2021
      9 сентября 2021 года компания Яндекс опубликовала подробности произошедшей ранее крупнейшей в истории интернета DDoS-атаки на свои сервисы. Скомпрометированными оказались устройства под управлением RouterOS, ботнет существовал (и существует) на Mikrotik'ах как старых моделей, так и свежих. Совместно с компанией Qrator Labs была отражена рекордная атака в 20 миллионов RPS.
      Тогда ещё безымянному ботнету было дано имя Mēris, что по-латышски означает «чума».
      9 сентября 2021 года компания Яндекс опубликовала подробности произошедшей ранее крупнейшей в истории интернета DDoS-атаки на свои сервисы. Скомпрометированными оказались устройства под управлением RouterOS, ботнет существовал (и существует) на Mikrotik'ах как старых моделей, так и свежих. Совместно с компанией Qrator Labs была отражена рекордная атака в 20 миллионов RPS.
      Тогда ещё безымянному ботнету было дано имя Mēris, что по-латышски означает «чума».

      Mēris отличается следующим:
      • Использование конвейерной обработки (pipelining в HTTP/1.1) для организации DDoS-атак (подтверждено)
      • Атаки ориентированы на эксплуатацию RPS (подтверждено)
      • Открытый порт 5678/TCP (подтверждено)
      • SOCKS4-прокси на зараженном устройстве (не подтверждено, хотя известно, что устройства Mikrotik используют SOCKS4)
      • Для взаимодействия внутри сети используются обратные L2TP-туннели
      На графике показано распределение зараженных по версиям RouterOS.
      meris_botnet.jpg


























      По информации компании Яндекс на них было осуществлено 5 атак с всё возрастающей силой:
      7 августа – 5,2 млн RPS
      9 августа – 6,5 млн RPS
      29 августа – 9,6 млн RPS
      31 августа – 10,9 млн RPS
      5 сентября – 21,8 млн RPS

      Выстояли.

      Для выяснения масштабов и географии обитания было проведено исследование на предмет открытого TCP-порта 5678. Результаты пугающие, в глобальной сети было найдено 328 723 активных роутера, отвечающих на запросы пробы на порту.
      ТОП-9 стран:
      Meris_top9.jpg
      Странное распределение... США с большим отрывом, нет Европы и России.

      Карта географического распределения (чем темнее, тем больше хостов)
      954012fc679a172cde2377f94ce624c6.jpg


      После обращения Яндекса и Qrator Labs в Микротик, производитель признал наличие проблемы и выпустил соответствующее заявление в своём блоге и инструкцию, как обезопасить свой MikrOtik.
      Перевод ниже:


      В начале сентября 2021 года компания QRATOR labs опубликовала статью о новой волне DDoS-атак, исходящих из ботнета, содержащего устройства MikroTik.

      Как мы понимаем, в этих атаках задействованы те же самые маршрутизаторы, взломанные ещё в 2018 году, когда MikroTik RouterOS имела уязвимость, которая была быстро устранена.

      В RouterOS не обнаружено новой уязвимости и вредоносных программ, скрывающихся внутри её файловой системы даже на поражённом оборудовании. Злоумышленник перенастраивает устройства RouterOS для удалённого доступа, используя команды и функции самой RouterOS.

      К сожалению, закрытие старой уязвимости не совсем защищает данные маршрутизаторы. Если кто-то узнал ваш пароль в 2018 году, то простое обновление не поможет. Вы также должны сменить пароль, проверить свой брандмауэр, чтобы он не разрешал удалённый доступ неизвестным лицам, и поискать скрипты, которых вы не создавали.

      Представители производителя пытались связаться со всеми пользователями RouterOS по этому поводу, но многие из них не откликнулись и не следят внимательно за состоянием своих устройств. Сейчас MikroTik ищет и другие решения.

      На данный момент в этих устройствах нет новых уязвимостей. RouterOS недавно прошла независимую проверку несколькими сторонними организациями.

      "Лучший план" действий по защите оборудования

      1. Регулярно обновляйте своё устройство MikroTik.
      2. Не предоставляйте общий доступ к настройкам своего устройства через Интернет. Если необходим удалённый доступ, используйте только безопасный VPN-сервис, например IPsec-подключение.
      3. Применяйте надёжный пароль и даже если он есть, измените его прямо сейчас!
      4. Не думайте, что ваша локальная сеть безопасна. Вредоносное ПО может попытаться подключиться к вашему роутеру, если на нём простой пароль или он вообще отсутствует.
      5. Проверьте конфигурацию RouterOS на наличие неизвестных настроек (см. ниже).

      Совместно с независимыми аналитиками в области информационной безопасности производитель обнаружил вредоносную программу, которая пытается изменить конфигурацию пользовательского устройства MikroTik через компьютер Windows в сети пользователя. Именно поэтому важно незамедлительно установить более надёжный пароль (для предотвращения беспарольного входа в систему или словарной атаки этого вредоносного ПО) и поддерживать маршрутизатор MikroTik в обновлённом состоянии (учитывая, что данный вредоносный софт также пытается использовать упомянутую уязвимость CVE-2018-14847, которая давно устранена).

      Системная конфигурация, которую необходимо найти и удалить:

      • система (System) ⇒ правила планировщика (Scheduler), которые выполняют сценарий Fetch;
      • IP ⇒ прокси-сервер SOCKS (если вы не используете эту функцию или не знаете, зачем она нужна, её необходимо отключить);
      • клиент L2TP с именем «lvpn» или любой незнакомый клиент L2TP;
      • входное правило брандмауэра, разрешающее доступ через порт 5678. 

      Также можно обратиться к своему провайдеру для блокировки следующих адресов, к которым подключаются нижеуказанные вредоносные скрипты.

      Заблокируйте конечные точки туннеля в доменах:

        *.eeongous.com
      *.leappoach.info
      *.mythtime.xyz

      Заблокируйте эти сценарии загрузки в доменах:

       
      • 1abcnews.xyz
      • 1awesome.net
      • 7standby.com
      • audiomain.website
      • bestony.club
      • ciskotik.com
      • cloudsond.me
      • dartspeak.xyz
      • fanmusic.xyz
      • gamedate.xyz
      • globalmoby.xyz
       
      • hitsmoby.com
      • massgames.space
      • mobstore.xyz
      • motinkon.com
      • my1story.xyz
      • myfrance.xyz
      • phonemus.net
      • portgame.website
      • senourth.com
      • sitestory.xyz
      • spacewb.tech
       
      • specialword.xyz
      • spgames.site
      • strtbiz.site
      • takebad1.com
      • tryphptoday.com
      • wchampmuse.pw
      • weirdgames.info
      • widechanges.best
      • zancetom.com

      По сообщениям других пользователей в Интернете, ботнетом также используются следующие домены:

       
      • bestmade.xyz
      • gamesone.xyz
       
      • mobigifs.xyz
      • myphotos.xyz
       
      • onlinegt.xyz
      • picsgifs.xyz 





      Вернуться
      Поделиться
      2025 © IPboom
      620144, г. Екатеринбург, ул. Московская 225/4
      zakaz@ipboom.ru  

      Компания
      Помощь
      Информация
      • О нас
      • Новости
      • Магазины
      • Условия оплаты
      • Условия доставки
      • Гарантия на товар
      • Статьи
      • Вопрос-ответ
      • Производители
      • Обзоры
      Екатеринбург  +7 343 382 00 51
      Заказать звонок
      Мы в социальных сетях:
      2025 © IPboom
      620144, г. Екатеринбург, ул. Московская 225/4
      zakaz@ipboom.ru  

      Информация на сайте не является публичной офертой.