lab501 forum  

Go Back   lab501 forum > Hardware > Periferice
Connect with Facebook

Periferice Monitoare, tastaturi, mousi, sisteme audio, elemente de retelistica


Reply
 
Thread Tools Search this Thread Display Modes
Old 23-10-2018, 11:36   #1
mbc
VIP
 
mbc's Avatar
 
Join Date: Oct 2010
Location: Cluj-Napoca
Posts: 28,819
Mentioned: 1490 Post(s)

PC-ul meu



Default Crypto Virus Mikrotik - Atentie la Update-uri

Toata lumea care ma cunoaste stie ca sunt lenes, asta nu e nici o noutate, dar cand esti atat de lenes incat ai lucru mult din cauza asta, deja nici lenea nu mai este eficienta.

Acum cateva luni ma dadeam relaxat pe lab501 si auzeam ca ventilatoarele incep sa se tureze si nu stiam de ce. Fara sa-mi dau seama am inchis forumul si ventilatoarele s-au calmat. Tot asa de cateva ori pana cand am pornit task managerul sa vad ca Firefox foloseste 98% din procesor. Inchid taburi pe rand, ce sa vezi, cand inchid tabul de lab501 scade utilizarea cpu. Am postat si aici la sectiunea de feedback si nimeni altcineva nu avea probleme. Am testat de pe Chromebook, nimic. In tot acest timp eu am primit erori de navigare din cand in cand, dar m-am gandit ca e de la anumite site-uri.

Fast forward pana alaltaieri cand nu pot sta linistit si incep sa investighez. Primul pas, dezinstalez Kaspersky si las computerul cu Windows Defender. Nici o schimbare. Instalez cryptor miner disabler in Firefox si isi face meseria partial, cateodata il opreste, alta data nu.

Totul s-a schimbat cand am instalat AVG Free si mi-a dat imaginea de mai jos, cum ca as avea un virus Mikrotik-C. Atunci totul a clickuit si mi-am dat seama ce s-a intamplat. Am amanat update-ul de firmware si in acest timp routerul meu a fost compromis.

In pozele atasate se vede cum in recent commands (tasta sus in terminal) se vad comenzile date de virus. La fel, se vede in scheduler ca se rulau comenzi de reactivare a diferitelor parti ale virusului. De asemenea, la DNS-uri, se poate observa ca au fost puse o gramada de IP-uri inaintea DNS-urilor mele - eu am setat doar 8.8.8.8 si 8.8.4.4, restul presupun ca au fost adaugate de virus.

Totodata era un server de proxy activ, iar in acest server era pagina de eroare cu scriptul de minat. O sa pun codul aici dupa ce ajung acasa, nu il am la mine.

Mi s-au infectat 3 computere de acasa. Pe toate le-am putut dezinfecta cu AVG Free. Inainte de AVG Free, am incercat KAV (platit). Pauza. Cu ocazia asta mi-am ales si noul antivirus pentru anul urmator.
Attached Thumbnails
Click image for larger version

Name:	probleme.PNG
Views:	454
Size:	182.7 KB
ID:	64202   Click image for larger version

Name:	1.png
Views:	411
Size:	23.3 KB
ID:	64203   Click image for larger version

Name:	2.jpg
Views:	386
Size:	46.6 KB
ID:	64204   Click image for larger version

Name:	3.jpg
Views:	346
Size:	58.7 KB
ID:	64205   Click image for larger version

Name:	4.png
Views:	347
Size:	37.0 KB
ID:	64206   Click image for larger version

Name:	5.png
Views:	376
Size:	23.2 KB
ID:	64207   Click image for larger version

Name:	7.png
Views:	379
Size:	20.8 KB
ID:	64208   Click image for larger version

Name:	8.png
Views:	369
Size:	28.1 KB
ID:	64209   Click image for larger version

Name:	9.png
Views:	373
Size:	21.3 KB
ID:	64210  
__________________
[PC-ul meu], Thinkpad T14

Last edited by mbc; 23-10-2018 at 12:11.
mbc is offline   Reply With Quote
Old 23-10-2018, 12:10   #2
Monstru
Administrator
 
Monstru's Avatar
 
Join Date: Jul 2009
Posts: 21,135
Mentioned: 770 Post(s)


Send a message via Yahoo to Monstru
Default

Good info!

Avg folosesc si eu de mai multi ani
__________________
Suma prostiei ramane constanta. Doar prostii se schimba...
Monstru is offline   Reply With Quote
Old 23-10-2018, 13:33   #3
DeDeRa
Banned
 
Join Date: Aug 2009
Posts: 12,096
Mentioned: 229 Post(s)

PC-ul meu

Default

Am instalat si eu AVG asa temator si dat un Deep Scan, ca sa fie complet, nu a gasit nimic. Nu folosesc antivirus si nu am folosit niciodata. Ultima instalare septembrie 2016. Bine, multumesc oricum pentru idee, nu e rau sa verifici din cand in cand treaba asta. Frate, au facut astia virusi pana si de rootere.
DeDeRa is offline   Reply With Quote
Old 23-10-2018, 13:41   #4
kretzu77
Ancient friend
 
kretzu77's Avatar
 
Join Date: Dec 2010
Location: după colţ, vis a vis de clădirea aia din faţă
Posts: 22,600
Mentioned: 735 Post(s)

PC-ul meu



Default

De rootere au fost mai mereu.
Sa vezi ca incepusera si pentru smartTV la un moment dat. =))
@mbc, multumim de info. I'm cleen so far.
__________________
Ne nastem pe rand si murim pe sarite.
Sa-ti dea iubita papucii spunand ca puteti ramane prieteni e ca si cum ti-ar muri cainele si maica-ta iti spune ca poti sa-l pastrezi.
kretzu77 is online now   Reply With Quote
Old 23-10-2018, 13:42   #5
mbc
VIP
 
mbc's Avatar
 
Join Date: Oct 2010
Location: Cluj-Napoca
Posts: 28,819
Mentioned: 1490 Post(s)

PC-ul meu



Default

Foarte destept cel care a facut virusul, dar nici de Mikrotik nu mi-e rusine cum au lasat toate serviciile pornite chiar si dupa update-ul de firmware.
__________________
[PC-ul meu], Thinkpad T14
mbc is offline   Reply With Quote
Old 23-10-2018, 14:07   #6
kretzu77
Ancient friend
 
kretzu77's Avatar
 
Join Date: Dec 2010
Location: după colţ, vis a vis de clădirea aia din faţă
Posts: 22,600
Mentioned: 735 Post(s)

PC-ul meu



Default

Pe ce port o fi venit? Eu am in firewall drop la tot pe inbound, mai putin porturile de care am eu nevoie (putine). Restul numai prin VPN

Tu de ce ai lasat toate serviciile active?
L-ai lasat liber, sa te poti conecta si de afara pe el? Fara VPN sau macar fara sa seteze adresele de unde te poti conecta pe el?
Eu, pe langa faptul ca am dezactivat o groaza din servicii (pe care nu le folosesc in mod curent), nici nu ma pot conecta decat de la anumite adrese.
In plus am mai schimbat si porturile (chiar daca schimbarea poate fi frectie, macar mai rezolva atacurile simple, fara port listener)

Daca am nevoie de ceva, intru prin VPN si dau drumul atunci, punctual. Asa au fost mereu si nu se activeaza nimic automat la update. Mereu a ramas ce aveam inainte.

Cam asa arata la mine pe partea de servicii:



Natzi style
Attached Thumbnails
Click image for larger version

Name:	Untitled.png
Views:	2909
Size:	25.4 KB
ID:	64211  
__________________
Ne nastem pe rand si murim pe sarite.
Sa-ti dea iubita papucii spunand ca puteti ramane prieteni e ca si cum ti-ar muri cainele si maica-ta iti spune ca poti sa-l pastrezi.

Last edited by kretzu77; 23-10-2018 at 15:40.
kretzu77 is online now   Reply With Quote
Old 23-10-2018, 15:35   #7
vibeup
Senior Member
 
vibeup's Avatar
 
Join Date: Feb 2015
Posts: 7,175
Mentioned: 284 Post(s)

PC-ul meu



Default

+11 ce zice kretzu77. Route-ul ala este prea destept sa lasi totul la vedere.
__________________
Lab501 Discord Server
vibeup is offline   Reply With Quote
Old 23-10-2018, 15:55   #8
kretzu77
Ancient friend
 
kretzu77's Avatar
 
Join Date: Dec 2010
Location: după colţ, vis a vis de clădirea aia din faţă
Posts: 22,600
Mentioned: 735 Post(s)

PC-ul meu



Default

In plus, eu mai am si asta setat atunci cand chiar dau drumul o perioada. la nevoie: https://wiki.mikrotik.com/wiki/Brute...gin_prevention
__________________
Ne nastem pe rand si murim pe sarite.
Sa-ti dea iubita papucii spunand ca puteti ramane prieteni e ca si cum ti-ar muri cainele si maica-ta iti spune ca poti sa-l pastrezi.
kretzu77 is online now   Reply With Quote
Old 23-10-2018, 16:21   #9
mbc
VIP
 
mbc's Avatar
 
Join Date: Oct 2010
Location: Cluj-Napoca
Posts: 28,819
Mentioned: 1490 Post(s)

PC-ul meu



Default

Taci mai Kretule ca nu fac management de retele de ieri. Vad ca tu ai si WWW activ acolo, eu nu aveam nimic activ inafara de winbox. Exploitul se face prin winbox. Din afara era inchis de tot.
__________________
[PC-ul meu], Thinkpad T14
mbc is offline   Reply With Quote
Old 23-10-2018, 16:37   #10
kretzu77
Ancient friend
 
kretzu77's Avatar
 
Join Date: Dec 2010
Location: după colţ, vis a vis de clădirea aia din faţă
Posts: 22,600
Mentioned: 735 Post(s)

PC-ul meu



Default

Si in winbox cum plm a ajuns? Ca e doar un rahat de executabil de pe pc-ul tau.
Deci PC-ul de pe care ai rulat are securitate de rahat, a luat ce a luat si l-a transmis routeruluiprin acel winbox praf. Sau winboxul ala se gandeste el sa iasa pe net, sa adune exploit-uri pe care sa ti le bage tine in router? C'mon
Am www pentru ca, de multe ori, intru din browser pentru configurari, fara sa mai folosesc winbox.
Oricum, prin www nu pot intra decat pe un anumit port si numai de la adrese interne (aka VPN).
Se pare ca accesarea din www prin VPN vs winbox a fost, asa de rahat cum ti se pare, mai sigura decat winbox-ul tau.

Uite ca asa, prost cum sunt, spre deosebire de maria ta, care nu faci management de retele de ieri, nu am avut astfel de problema. Cum iti explici? Woodoo?
__________________
Ne nastem pe rand si murim pe sarite.
Sa-ti dea iubita papucii spunand ca puteti ramane prieteni e ca si cum ti-ar muri cainele si maica-ta iti spune ca poti sa-l pastrezi.
kretzu77 is online now   Reply With Quote
Old 23-10-2018, 16:45   #11
mbc
VIP
 
mbc's Avatar
 
Join Date: Oct 2010
Location: Cluj-Napoca
Posts: 28,819
Mentioned: 1490 Post(s)

PC-ul meu



Default

Pai si eu de ce zic ca KAV e de rahat? Nu pentru ca nu o facut ce trebuie?

Pai tu nu ai computere virusate la service in fiecare zi

Tare as vrea sa stiu cum a intrat exact, dar na... asta este. Eu cred ca a intrat din reteaua locala, prin winbox.
__________________
[PC-ul meu], Thinkpad T14
mbc is offline   Reply With Quote
Old 23-10-2018, 16:56   #12
kretzu77
Ancient friend
 
kretzu77's Avatar
 
Join Date: Dec 2010
Location: după colţ, vis a vis de clădirea aia din faţă
Posts: 22,600
Mentioned: 735 Post(s)

PC-ul meu



Default

Si tu ai winbox-ul ala pus peste tot prin reteaua locala? Why? Daca tot zici ca ai computere virusat ela service in fiecare zi?
Winbox-ul sta pe un stick usb in cel mai rau caz si il folosesti atunci cand ce ai de facut nu poti face din interfata web a lui.
__________________
Ne nastem pe rand si murim pe sarite.
Sa-ti dea iubita papucii spunand ca puteti ramane prieteni e ca si cum ti-ar muri cainele si maica-ta iti spune ca poti sa-l pastrezi.

Last edited by kretzu77; 23-10-2018 at 17:02.
kretzu77 is online now   Reply With Quote
Old 23-10-2018, 18:28   #13
Bennedict
Senior Member
 
Bennedict's Avatar
 
Join Date: Nov 2011
Posts: 2,168
Mentioned: 83 Post(s)

PC-ul meu

Default

Quote:
Originally Posted by mbc View Post
Toata lumea care ma cunoaste stie ca sunt lenes, asta nu e nici o noutate, dar cand esti atat de lenes incat ai lucru mult din cauza asta, deja nici lenea nu mai este eficienta.

Acum cateva luni ma dadeam relaxat pe lab501 si auzeam ca ventilatoarele incep sa se tureze si nu stiam de ce. Fara sa-mi dau seama am inchis forumul si ventilatoarele s-au calmat. Tot asa de cateva ori pana cand am pornit task managerul sa vad ca Firefox foloseste 98% din procesor. Inchid taburi pe rand, ce sa vezi, cand inchid tabul de lab501 scade utilizarea cpu. Am postat si aici la sectiunea de feedback si nimeni altcineva nu avea probleme. Am testat de pe Chromebook, nimic. In tot acest timp eu am primit erori de navigare din cand in cand, dar m-am gandit ca e de la anumite site-uri.

Fast forward pana alaltaieri cand nu pot sta linistit si incep sa investighez. Primul pas, dezinstalez Kaspersky si las computerul cu Windows Defender. Nici o schimbare. Instalez cryptor miner disabler in Firefox si isi face meseria partial, cateodata il opreste, alta data nu.

Totul s-a schimbat cand am instalat AVG Free si mi-a dat imaginea de mai jos, cum ca as avea un virus Mikrotik-C. Atunci totul a clickuit si mi-am dat seama ce s-a intamplat. Am amanat update-ul de firmware si in acest timp routerul meu a fost compromis.

In pozele atasate se vede cum in recent commands (tasta sus in terminal) se vad comenzile date de virus. La fel, se vede in scheduler ca se rulau comenzi de reactivare a diferitelor parti ale virusului. De asemenea, la DNS-uri, se poate observa ca au fost puse o gramada de IP-uri inaintea DNS-urilor mele - eu am setat doar 8.8.8.8 si 8.8.4.4, restul presupun ca au fost adaugate de virus.

Totodata era un server de proxy activ, iar in acest server era pagina de eroare cu scriptul de minat. O sa pun codul aici dupa ce ajung acasa, nu il am la mine.

Mi s-au infectat 3 computere de acasa. Pe toate le-am putut dezinfecta cu AVG Free. Inainte de AVG Free, am incercat KAV (platit). Pauza. Cu ocazia asta mi-am ales si noul antivirus pentru anul urmator.
Data viitoare s-ar putea sa iti fie util un post de genul

Automatically Upgrade your Mikrotik router firmware & OS
__________________
"Questions belong in the forum, not in my mailbox, no support via PM!"

Nickname anterior: Kynyo

Last edited by Bennedict; 23-10-2018 at 18:32.
Bennedict is offline   Reply With Quote
Old 23-10-2018, 19:02   #14
mbc
VIP
 
mbc's Avatar
 
Join Date: Oct 2010
Location: Cluj-Napoca
Posts: 28,819
Mentioned: 1490 Post(s)

PC-ul meu



Default

Da, sigur o sa fie. Merci.
__________________
[PC-ul meu], Thinkpad T14
mbc is offline   Reply With Quote
Old 23-10-2018, 23:01   #15
agarici cu pedale
Ancient friend
 
agarici cu pedale's Avatar
 
Join Date: Mar 2012
Location: Bucuresti
Posts: 11,790
Mentioned: 177 Post(s)

PC-ul meu



Default

Tu aveai problema asta de multa vreme ca stiu cand ai postat si nu are nici o treaba cu faptul ca faci retele de ieri sau de acum nspe mi de ani.

Nu mai am antivirus in pc de multa vreme dar nici craked shit nu mai bag si nici nu am lasat nimic in router default, nici macar porturile servicilor. toate servicile sunt pe off mai putin winboxu, firewall-ul e setat agresiv si nici un port fw lasat pe ON niciodata, daca am nevoie de ceva cumva intru pe winbox si ii dau ON, imi fac treaba si apoi off sau dau drumu la VPN si renunt la winbox dar aparent nu am virusul pe el, am ultimul winbox absolut tot timpul (niciodata versiune old) si stateam pe beta release pana acum o luna cand m-am trecut din nou pe stable.

AVG_ul l-am folosit o gramada de vreme si am fost extrem de multumit cu el apoi am renuntat total la el ca am ramas fara liceenta, totodata altul bun si simplu e forticlient, ambele excelente.
Cand va ziceam de AV-uri platite vs free pentru home use sunt de rahat sareati de cur imediat, tin sa precizez ca nu o zic ca un told you chiar daca asa pare ca suna.

LE: si ping-ul e pe off in router, de cand am asta nu mai am nici un atac in el de bruteforce nici pe vpn nici pe direct. reguli la fw de bruteforce cu ban cum a zis kretu + monitorizare in logs si update and shit cand am timp, gen la 2 saptamani sau o luna.
cu ocazia asta ii pun sotiei un AVG sa il aiba acolo ca nu se stie niciodata, danke de info.

Last edited by agarici cu pedale; 23-10-2018 at 23:23.
agarici cu pedale is offline   Reply With Quote
Old 23-10-2018, 23:58   #16
mbc
VIP
 
mbc's Avatar
 
Join Date: Oct 2010
Location: Cluj-Napoca
Posts: 28,819
Mentioned: 1490 Post(s)

PC-ul meu



Default

O chestie e sigura: toata treaba m-a luat prin surprindere si sunt mai nepregatit decat credeam. Am avut si pingul activ pe wan, l-am dezactivat acum.
__________________
[PC-ul meu], Thinkpad T14
mbc is offline   Reply With Quote
Old 24-10-2018, 00:09   #17
agarici cu pedale
Ancient friend
 
agarici cu pedale's Avatar
 
Join Date: Mar 2012
Location: Bucuresti
Posts: 11,790
Mentioned: 177 Post(s)

PC-ul meu



Default

Am dat si eu winbox-ul jos si pus VPN-ul up.
agarici cu pedale is offline   Reply With Quote
Old 24-10-2018, 00:24   #18
mbc
VIP
 
mbc's Avatar
 
Join Date: Oct 2010
Location: Cluj-Napoca
Posts: 28,819
Mentioned: 1490 Post(s)

PC-ul meu



Default

Din wan nu ma mai pot conecta prin nimic, am lasat doar din lan, de pe clasa mea de ip, pe port schimbat. Am dezactivat si conectarea pe MAC.
__________________
[PC-ul meu], Thinkpad T14
mbc is offline   Reply With Quote
Old 24-10-2018, 07:17   #19
ZorracK
Ancient friend
 
Join Date: Oct 2014
Posts: 1,293
Mentioned: 23 Post(s)

PC-ul meu

Default

depinde ce versiune de Kaspersky aveai, daca era Kav simplu nasol, Kis sau Total nu cred ca te lasa asa, eu am Kis de vreo 7 ani si merge brici
ZorracK is offline   Reply With Quote
Old 24-10-2018, 08:41   #20
madhorsefuzzy
Senior Member
 
madhorsefuzzy's Avatar
 
Join Date: Sep 2009
Location: Bucuresti
Posts: 4,062
Mentioned: 169 Post(s)

PC-ul meu

Default

Cum iti dai seama ca merge brici? Si mbc credea ca, KAV merge brici pana ... l-a prins.
madhorsefuzzy is offline   Reply With Quote
Reply

Thread Tools Search this Thread
Search this Thread:

Advanced Search
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Forum Jump

Similar Threads
Thread Thread Starter Forum Replies Last Post
Mikrotik setup help FeierFlorin Periferice 8 28-04-2014 21:53
Mikrotik Tips FeierFlorin Periferice 9 22-11-2013 23:07
Virus iforex? fubu Software 45 30-08-2013 11:48
Virus,draci,laci glaser Software 17 20-11-2010 11:52

 
Forum Stats
Members: 9,573
Threads: 27,900
Posts: 782,719
Total Online: 2380

Newest Member: miyeyi1060

Latest Threads
- by carlin
- by Kspic
- by Gotul
- by matose
- by Monstru

Advertisement

Partner Links



All times are GMT +3. The time now is 12:58.


Powered by vBulletin® Version 3.8.6
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.