Comments 14
Покажите пожалуйста ваши дефолтные настройки для микротика.
Я так понял что убедительных доказательств присутствия заразы найти не удалось. Дамп фс можно снять? Трафик монитроить пробовали? Она же по идее должна через роутер куда-то ломиться…
Я так понял что убедительных доказательств присутствия заразы найти не удалось. Дамп фс можно снять? Трафик монитроить пробовали? Она же по идее должна через роутер куда-то ломиться…
Mikrotik товарищ поставить ещё не удосужился. Mikrotik позволяет перехватывать и анализировать трафик очень удобно: в конфиге задаётся адрес компа, где будет анализироваться лог, правило сбора трафика. Далее на компе запускаем Wikeshark, настраиваем его и в режиме реального времени видим трафик. Более подробно об этом тут
Хотя, на самом устройстве можно было бы попробовать посниферить трафик через tcpdump (если он там есть, надо будет глянуть).
Дамп фс с терабайтами фильмов? :) Или каких-то отдельных частей фс? Можете командой заделиться?
Настройки Mikrotik выложу. Наверное, на pastebin, и тогда ссылку здесь дам. наверное, так будет удобнее всего
Хотя, на самом устройстве можно было бы попробовать посниферить трафик через tcpdump (если он там есть, надо будет глянуть).
Дамп фс с терабайтами фильмов? :) Или каких-то отдельных частей фс? Можете командой заделиться?
Настройки Mikrotik выложу. Наверное, на pastebin, и тогда ссылку здесь дам. наверное, так будет удобнее всего
Я имел в виду дамп системного раздела / без пользовательских данных. Если это конечно возможно на данном устройстве.
Как это сделать? использовать команду dd с какими-то настройками? Как потом это анализировать? У меня просто не особо богатый опыт в таких делах
Да, dd вполне подойдет.
Сначала нужно понять, на каком разделе находится система. Можно посмотреть командой mount. Так же будет полезным посмотреть системный файл /etc/fstab и выполнить команду blkid, это так же может быть полезно. Ну а дальше — dd if=/path/to/system/device of=/path/to/removable/storage
Главное не перепутать if и of, посмотрите man dd перед тем, как запускать. На выходе получите дамп, который можно будет подмонтировать где-нибуь и изучать.
Сначала нужно понять, на каком разделе находится система. Можно посмотреть командой mount. Так же будет полезным посмотреть системный файл /etc/fstab и выполнить команду blkid, это так же может быть полезно. Ну а дальше — dd if=/path/to/system/device of=/path/to/removable/storage
Главное не перепутать if и of, посмотрите man dd перед тем, как запускать. На выходе получите дамп, который можно будет подмонтировать где-нибуь и изучать.
ставьте их за маршрутизатором
Дальше больше — ломают и маршрутизаторы :)
У родителей какая-та зараза судя по симпотомам изменила DNS-записи маршрутизатора. На web-страницах в Smart-TV и ПК, вылетает куча несуразной рекламы посреди страниц поисковиков. Как сломали — хрен знает, но есть подозрение, что это какая-то масс-атака на роутеры с устаревшей прошивкой (привет Ростелеком!).
Давайте рассуждать логически. У всего есть объяснение, чудес не бывает.
С подменой DNS-записей клиентов роутера я однажды сталкивался. То был домашний роутер. В конфиге был прописан DNS провайдера. Вот кэш DNS провайдера и отравили. После того, как я заменил в настройках роутера DNS на 8.8.8.8, проблема исчезла.
Надо понимать, что не все домашние роутеры позволяют грамотно настроить их. Например, я настроил Mikrotik так (в статье по ссылке это тоже всё описано):
1. Весь входящий трафик запрещён (udp, tcp — не важно. Даже icmp запрещаю) как из интернета, так и из локальной сети. За исключением одного-единственного IP, с которого и конфигурирую устройство. Даже если забудете на Mikrotik какую службу выключить — это не страшно: никто, кроме Вашего IP не сможет к ней обратиться.
2. IP-spoofing пресечь очень просто. Изоляция подсетей: каждый LAN-порт — своя подсеть. Мой IP-адрес устройства из других LAN не смогут присвоить (верней, смогут, но тогда работать не будет у них ни интернет, ни обращение к роутеру). А свой комп я включаю напрямую к Mikrotik без каких-либо коммутаторов. Т.е. кроме моего компа на порту роутера никаких устройств более не будет.
3. Нужен доступ из любого места из Интернета на NAS-сервер (был в гостях, друзья рассказали про крутой фильм, хочется поставить его на скачку и к моменту прихода домой уже иметь возможность его посмотреть)? Не вопрос. Используя port knocking посылаю 3 пакета ICMP (echo-request) с разной заданной длинной — и вуаля. Доступ на час для этого IP на нестандартный порт. Благо, на любом компе (какая бы ОС не стояла у друзей) можно вызвать команду ping с необходимыми параметрами.
4. Нужен доступ из любого места из Интернета на сам Mikrotik? Обломись. Подумай хроменько и осознай, что этого не нужно!
5. Ставим адрес DNS-серверов 8.8.8.8
Mikrotik за свои деньги позволяет очень гибко себя настраивать. А стоит он не намного дороже (а иногда и дешевле), чем многие «типа навороченные» домашние роутеры. А ведь далеко не все такие «навороченные» позволяют даже ограничить доступ к устройству из интернета!
С такими настройками безопасно и самому микротику и устройствам за микротиком.
С подменой DNS-записей клиентов роутера я однажды сталкивался. То был домашний роутер. В конфиге был прописан DNS провайдера. Вот кэш DNS провайдера и отравили. После того, как я заменил в настройках роутера DNS на 8.8.8.8, проблема исчезла.
Надо понимать, что не все домашние роутеры позволяют грамотно настроить их. Например, я настроил Mikrotik так (в статье по ссылке это тоже всё описано):
1. Весь входящий трафик запрещён (udp, tcp — не важно. Даже icmp запрещаю) как из интернета, так и из локальной сети. За исключением одного-единственного IP, с которого и конфигурирую устройство. Даже если забудете на Mikrotik какую службу выключить — это не страшно: никто, кроме Вашего IP не сможет к ней обратиться.
2. IP-spoofing пресечь очень просто. Изоляция подсетей: каждый LAN-порт — своя подсеть. Мой IP-адрес устройства из других LAN не смогут присвоить (верней, смогут, но тогда работать не будет у них ни интернет, ни обращение к роутеру). А свой комп я включаю напрямую к Mikrotik без каких-либо коммутаторов. Т.е. кроме моего компа на порту роутера никаких устройств более не будет.
3. Нужен доступ из любого места из Интернета на NAS-сервер (был в гостях, друзья рассказали про крутой фильм, хочется поставить его на скачку и к моменту прихода домой уже иметь возможность его посмотреть)? Не вопрос. Используя port knocking посылаю 3 пакета ICMP (echo-request) с разной заданной длинной — и вуаля. Доступ на час для этого IP на нестандартный порт. Благо, на любом компе (какая бы ОС не стояла у друзей) можно вызвать команду ping с необходимыми параметрами.
4. Нужен доступ из любого места из Интернета на сам Mikrotik? Обломись. Подумай хроменько и осознай, что этого не нужно!
5. Ставим адрес DNS-серверов 8.8.8.8
Mikrotik за свои деньги позволяет очень гибко себя настраивать. А стоит он не намного дороже (а иногда и дешевле), чем многие «типа навороченные» домашние роутеры. А ведь далеко не все такие «навороченные» позволяют даже ограничить доступ к устройству из интернета!
С такими настройками безопасно и самому микротику и устройствам за микротиком.
Даже icmp запрещаю
Привет, Path MTU Discovery Blackhole!
Нагуглил статью на эту тему на хабре
Но уж больно большая. Как осилю — откомментирую более подробно
Пока могу сказать, что я уже более 2-х лет работаю с такими настройками. И такие настройки у меня на нескольких роутерах: дома, на работе. Проблем не возникало
Но уж больно большая. Как осилю — откомментирую более подробно
Пока могу сказать, что я уже более 2-х лет работаю с такими настройками. И такие настройки у меня на нескольких роутерах: дома, на работе. Проблем не возникало
Wireshark правильно )
Sign up to leave a comment.
Изгоняем нечисть из ReadyNAS