Но хватит лирики. Спешу развеять ваши опасения об опасности использования RouterOS. Ботнет Hajime заражает RouterOS. Отсюда и паника, поднятая в Интернете. Но, если прочитать чуть внимательнее, то заражает он версии RouterOS ниже 6.38.5 (или 6.37.5 в bugfix ветке). А значит, что если вы обновляли свою RouterOS хотя бы раз в течение последних 12 месяцев, то вы в безопасности!
Как работает Hajime:
1. Сканированием портов обнаруживаем RouterOS по открытому tcp 8291
2. Уязвимость в web сервере webfig'a, значит через tcp 80 заражаем его
Отсюда выводы:
ВЫ В БЕЗОПАСНОСТИ, если выполнили хотя бы одно действие из списка:
1. Обновлялись в последние 12 месяцев и версия RouterOS у вас 6.38.5 (6.37.5 для bugfix) или выше. Сейчас актуальная 6.41.3 (6.40.6 bugfix)
2. У вас отключен web сервер: ip - service - www
3. Настроен фаервол. А именно доступ к tcp 80 из недоверенных сетей
4. Отключен webfig. То есть на 80 порту работает веб-фронтенд для прокси, User Manager'a или хотспота
5. У вас переназначен порт WinBox'a на нестандартный (не 8291). В этом случае вы защищены только от сканирования, на www сервис все равно под ударом
6. У вас отключен сервис WinBox. В этом случае вы защищены только от сканирования, на www сервис все равно под ударом
7. В ip - service указаны IP адреса, с которых можно подключаться к этим сервисам
Не забывайте, что заразиться можно не только из Интернета, но и из доверенной сети LAN, если кто-то внутри уже подхватил заразу.
Как видите, все беды опять идут от раздолбайства. Своевременно обновляйте ПО, настраивайте фаерволы, устанавливайте доверенные сети и не будете знать проблем. Оригинал материала на форуме
Как обезопасить свой Mikrotik мы подробно рассматриваем на курсе MTCNA. Приходите и узнайте как не попасться на удочку хакеров.
