اطلاعیه

بستن
هنوز اطلاعیه ای در دست نیست.

یکی به میکروتیک نفوذ کرده و 50گیگ استفاده کرده، چکار کنم؟! فوری!!!!

بستن
این موضوع بسته شده است.
X
X
 
  • فیلتر کردن
  • زمان
  • نمایش
Clear All
پست های جدید

    یکی به میکروتیک نفوذ کرده و 50گیگ استفاده کرده، چکار کنم؟! فوری!!!!

    با سلام
    امروز وقتی داشتم میزان اینترنت را در سایت مخابرات چک می کردم متوجه شدم توی 5 روز گذشته 50 گیگ استفاده شده. عکس زیر را ببینید:
    اینترنت مربوط به یک مجموعه ای است که شب ها تعطیله ولی روترهای اینترنت 24 ساعته روشن هستند. همون طور که در عکس هم مشخصه از چند روز پیش این نفوذ اتفاق افتاده و بیشتر هم شب ها (از 1 شب تا 7 صبح ) استفاده شده.



    کانفیگ به این صورت است که اینترنت از مودم به ether1 میکروتیک 951u متصل شده و هات اسپات روی اینترفیس وایرلس این میکروتیک فعال شده و کاربران با یوزر منیجر به هات اسپات متصل می شوند و از اینترنت استفاده می کنند.
    البته چون مجموعه بزرگ است ناچار شدیم یک میکروتیک دیگه هم با wds mesh به این میکروتیک متصل کنیم تا اینترنت در محدوده وسیع تری توزیع بشه.



    البته می دانم که چون وایرلس اصلاً رمز ندارد و کاربران باید بتوانند بدون رمز متصل شوند تا بتوانند صفحه هات اسپات را باز کنند و رمز خودشون را که در یوزر منیجر براشون ساختیم در هات اسپات وارد کنند و به اینترنت متصل شوند پس فکر کنم طبیعی باشه چونکه وایرلس رمز ندارد سیستم کاربران خودکار به این شبکه متصل بشه و در این صفحه قرار بگیره برای همین ممکنه این mac ها مر بوط به آقا دزده نباشه. ممنون می شم اساتید محترم انجمن راهنمایی کنند که چطوری جلوی نفوذ ایشون را بگیرم.


    #2
    ببین میکروتیک یک مشکل داره که نمیدونم گفتنش درسته یا نه
    توی هات اسپات ( این روش در دانشگاه ها خیلی کارایی داره) شما با یک لبتاپ و یک بک ترک میتونی میکروتیکو فریب بدی
    کافیه مک کارت شبکت رو با مک یوزر یکی کنی اینطور میکروتیک سیستم دوم رو با سیستم اول اشتباه میگیره اینطور سیستم اول رو از شبکه خارج میکنه و اینترنتو به مک دوم میده

    کامنت


      #3
      ای وای...!
      راه حل مشکل من چیه؟!
      توی پست اول شرح واقعه را گذاشتم. ممنون می شوم اساتید محترم انجمن راه حلی را برای این مشکل بفرمایند.

      کامنت


        #4
        نوشته شده توسط iman iman مشاهده پست
        ای وای...!
        راه حل مشکل من چیه؟!
        توی پست اول شرح واقعه را گذاشتم. ممنون می شوم اساتید محترم انجمن راه حلی را برای این مشکل بفرمایند.
        شما این قسمتو 1 گذاشتین؟

        Capture.JPG

        کامنت


          #5
          ریموت بده روترت را امن کنم !
          موارد امنیتی را باید تک تک اعمال کنید
          سطوح دسترسی را مشخص کردید؟!؟

          کامنت


            #6
            استاد هاشم اگه میشه موارد امنیتی را بگید تا بتونیم استفاده کنیم
            CCNA,CCNP ,...

            کامنت


              #7
              بله اگه میشه موارد رو بگین تا ما هم یاد بگیریم.

              کامنت


                #8
                توی host لیست سیستم هایی که تو شبکه هست رو نشون میده و مشکلی وجود ندارد
                شما باید بفهمید که ایا واقعا کسی استفاده کرده،روی کارت وایرلس ببینید حجم استفاده شده چقدر هست و با مقداری که isp میگه یکی هست
                ممکنه از بیرون به ای پی شما ترافیک فرستاده شده باشه و اون باعث شده حجم مصرف بشه
                تنظیمات هات اسپات که دست نزدید؟بعضی ها دست میزنن تا به عنوان شبکه داخلی هم استفاده کنن

                کامنت


                  #9
                  اگر مداوم استفاده میکنه یه شب بشین و کاملا اس+نیفش کن ببین چیکارا میکنه. هات اسپات که نیاز به بک ترک نداره با خود ویندوزم میشه.....

                  کامنت


                    #10
                    ممنون از همه اساتید؛ آقا دزده فقط دیشب را تا صبح 6 گیگ زحمت کشیده دزدیده! یعنی حدوداً 60 گیگ ظرف 6 روز!

                    عکس لاگ وینباکس از فعالیت دیشب آقا دزده :
                    D4:CA:6D:AB:8E:7E میکروتیک دوم است که با این میکروتیک مش شده. مشخصه جاهایی که فلش قرمز زدم آقا دزده با via ssh یه کارهایی می کرده که تحلیل و روش جلوگیری از نفوذش رو اساتید محترم انجمن حتماً بهتر می دانند و بنده را نیز مطلع خواهند کرد.

                    ضمناً آدرس ریموت برای استاد hashem_wolf پیام خصوصی شد. منتظر تحلیل اساتید محترم انجمن هستم.


                    آخرین ویرایش توسط iman iman; در تاریخ/ساعت 2014/09/24, 09:12 AM.

                    کامنت


                      #11
                      لینک های زیر مرتبط با این نوع حملات است:

                      http://www.nekoei.ir/?p=63
                      http://wiki.mikrotik.com/wiki/Brutef...gin_prevention

                      البته قطعا توی لینک های فوق 3 ردیف دستور آمده که قطعا کادر دستورات اول و دوم برای بنده کارساز نیست چون با این دستورات تنها در صورتی جلوی آقا دزده گرفته می شود که ظرف مدت کم ورود های نا موفق زیاد داشته باشه که این آقا دزده همون طور که در لاگ هم مشخصه با اولین تلاشش برای ورود خیلی راحت وارد شده و تا 2 ساعت و ربع سنگین استفاده کرده و پس از اون گویا قطع شده و چند بار ورود نا موفق داشته. اما فکر کنم دستورات ردیف سوم ( کد زیر) کار ساز باشه. امتحان که کردم نتیجه را خبر می دهم. همچنان منتظر راهنمایی های اساتید محترم هستم


                      If you want to block downstream access as well, you need to block the with the forward chain:
                      add chain=forward protocol=tcp dst-port=22 src-address-list=ssh_blacklist action=drop \
                      comment="drop ssh brute downstream" disabled=no
                      To view the contents of your Blacklist, go to "/ip firewall address-list" and type "print" to see the contents.


                      با تشکر

                      کامنت


                        #12
                        نوشته شده توسط hajijon مشاهده پست
                        اگر مداوم استفاده میکنه یه شب بشین و کاملا اس+نیفش کن ببین چیکارا میکنه. هات اسپات که نیاز به بک ترک نداره با خود ویندوزم میشه.....
                        بله با ویندوز میشه
                        اما با بکترک میشه دید چند نفر به آنتن وصل هستن
                        مک هر کدوم چی هست
                        هر کدوم چه پهنای باندی دارن عبور میدن
                        تعداد پکت ها
                        و مانیتور کردن پکت ها رو هم میشه راحت انجام داد

                        کامنت


                          #13
                          خوب چرا ssh رو کامل نمیبندی و یا رو 1 آی پی محدود نمیکنی ؟

                          از مسیر ip >>services

                          کامنت


                            #14
                            والا از عکسها که معلومه طرف بروت فورس میزده استفاده نمی کرده.

                            کامنت


                              #15
                              آخرین دسته گل آقا دزده که فقط ظرف 7 روز (از 25 شهریور ) این مبلغ را خرج روی دستمون گذاشته و مخابرات هم چون مبلغ بالا رفته اینترنت را برامون قطع کرده:





                              چطوری دسترسی آقا دزد نامحترم را به میکروتیکم قطع کنم. اطلاعات من خیلی ابتدائیه اصلاً نمی دانم این ssh چی هست؟ و اینکه باید چطوری ببندمش. چون کدهای پست 11 را که در سایت میکروتیک بود وقتی در ترمینال میکروتیک زدم کد اجرا نشد و چیزی در فایروال، نات و ... هم اضافه نشد.
                              و اگر این ssh را مسدود کنم با توجه به روشی که در لاگ پست 10 گذاشتم دیگر این آقا دزده نمی تواند نفوذ کند؟!
                              ممنون می شوم اساتید با شرح جزئیات بفرمایند چطور دسترسی این آقا دزده را مسدود کنم.

                              محبت اساتید محترم انجمن است که با توجه به کانفیگ بنده که شرح آن در پست اول آمده بفرمایند چه پورت ها و چه چیزهایی را از کجا مسدود کنم برای امنیت بیشتر تا از این مورد و هم مورد های مشابه و رایجی که برای نفوذ وجود دارد دیگر برایم پیش نیاید.

                              آخرین ویرایش توسط iman iman; در تاریخ/ساعت 2014/09/25, 12:44 AM.

                              کامنت

                              در حال انجام ...
                              X