8
SSH - fataler Fehler?
Hallo alle zusammen,
ich experimentiere gerade mit SSH Zugriff auf den Mikrotik. Dazu habe ich einen User erstellt und diesem das öffentliche Zertifikat zugewiesen. Nun ist mir bei den aktiven Usern folgendes aufgefallen:
user admin logged in from 0.0.0.0 via local
Ich geh davon aus, dass ein erfolgreicher Angriff stattgefunden hat. Mit ist aber absolut nicht klar, wie ich das verursacht haben könnte, vor dem Mikrotik hängt eigentlich noch eine Fritzbox, dort sind keinerlei Portweiterleitungen eingetragen. Beim SSH-Service ist eingetragen, dass nur logins aus meinem lokalen Netz akzeptiert werden. Bei den Usern hatte ich allerdings keine Einschränkung hinterlegt. Auch die Login-Zeit war identisch zu meiner.
Ich weiss gerade nicht, wie ich das interpretieren soll...
VG
wimaflix
ich experimentiere gerade mit SSH Zugriff auf den Mikrotik. Dazu habe ich einen User erstellt und diesem das öffentliche Zertifikat zugewiesen. Nun ist mir bei den aktiven Usern folgendes aufgefallen:
user admin logged in from 0.0.0.0 via local
Ich geh davon aus, dass ein erfolgreicher Angriff stattgefunden hat. Mit ist aber absolut nicht klar, wie ich das verursacht haben könnte, vor dem Mikrotik hängt eigentlich noch eine Fritzbox, dort sind keinerlei Portweiterleitungen eingetragen. Beim SSH-Service ist eingetragen, dass nur logins aus meinem lokalen Netz akzeptiert werden. Bei den Usern hatte ich allerdings keine Einschränkung hinterlegt. Auch die Login-Zeit war identisch zu meiner.
Ich weiss gerade nicht, wie ich das interpretieren soll...
VG
wimaflix
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7989755961
Url: https://administrator.de/contentid/7989755961
Ausgedruckt am: 22.11.2024 um 09:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
zeige doch mal einen Screenshot wo diese „Meldung“ her kommt und wie deine Einstellungen am Mikrotik aussehen.
Ich verstehe nicht ganz genau was du mit „Angriff“ meinst.
Ich würde aktuell behaupten, dass alles passt so wie es ist (anhand der Infos die du uns gegeben hast).
Gruß
zeige doch mal einen Screenshot wo diese „Meldung“ her kommt und wie deine Einstellungen am Mikrotik aussehen.
Ich verstehe nicht ganz genau was du mit „Angriff“ meinst.
Ich würde aktuell behaupten, dass alles passt so wie es ist (anhand der Infos die du uns gegeben hast).
Gruß
Leider habe ich in dem Moment Panik bekommen, den Router neu gestartet und alles rückgängig gemacht sowie das admin-Passwort geändert.
Der Eintrag war unter System - Users - Active Users zu sehen. Aktuell sieht das bei mir so aus:
Zu dem Zeitpunkt hatte ich dort drei Einträge. Der erste wie auf dem Bild zu sehen via web, der zweite via SSH (gleiche IP) und einmal via local mit 0.0.0.0. Der Zeitstempel des local-Eintrags war identisch mit dem via SSH.
Das Zertifikate hatte ich ohne passphrase auf meinem PC erstellt und übertragen :
Dann einen User ssh-vw erstellt, Rechte identisch mit dem admin, Passwort 12345, Passwörter wollte ich wenn es funktioniert deaktivieren.
Dann unter System - Users - SSH-Keys für den User ssh-vw das Zertifikat mt-access.pub importiert. Danach eingeloggt mit
Nur mit ssh-vw@172.16.1.1 wurde ich immer nach dem Passwort gefragt, kam aber nie rein.
Weitere Einstellungen:
IP - SSH: Dort hatte ich die Host Key Size auf 8192 geändert und Regenerate Host Key gemacht.
IP Services: Keine Änderung gegenüber vorher.
Was mir Sorgen macht: 0.0.0.0 bedeutet doch, dass der Zugriff von außerhalb kam? Ich verstehe aber das "local" in dem Zusammenhang nicht.
Der Eintrag war unter System - Users - Active Users zu sehen. Aktuell sieht das bei mir so aus:
Zu dem Zeitpunkt hatte ich dort drei Einträge. Der erste wie auf dem Bild zu sehen via web, der zweite via SSH (gleiche IP) und einmal via local mit 0.0.0.0. Der Zeitstempel des local-Eintrags war identisch mit dem via SSH.
Das Zertifikate hatte ich ohne passphrase auf meinem PC erstellt und übertragen :
ssh-keygen -t rsa -b 8192
scp .ssh/mt-access.pub admin@172.16.1.1:mt-access.pubDann einen User ssh-vw erstellt, Rechte identisch mit dem admin, Passwort 12345, Passwörter wollte ich wenn es funktioniert deaktivieren.
Dann unter System - Users - SSH-Keys für den User ssh-vw das Zertifikat mt-access.pub importiert. Danach eingeloggt mit
ssh -i ~/.ssh/mt-access -o 'PubkeyAcceptedKeyTypes=ssh-rsa' ssh-vw@172.16.1.1 Nur mit ssh-vw@172.16.1.1 wurde ich immer nach dem Passwort gefragt, kam aber nie rein.
Weitere Einstellungen:
IP - SSH: Dort hatte ich die Host Key Size auf 8192 geändert und Regenerate Host Key gemacht.
IP Services: Keine Änderung gegenüber vorher.
Was mir Sorgen macht: 0.0.0.0 bedeutet doch, dass der Zugriff von außerhalb kam? Ich verstehe aber das "local" in dem Zusammenhang nicht.
Okay, ich bleibe dabei, das passt schon so.
Die 0.0.0.0 ist eine nicht routbare Standardadresse.
Was ich dir allerdings raten würde:
Bei jedem Mikrotik würde ich immer einen neuen User mit Adminrechten anlegen und den ursprünglichen admin user danach deaktivieren.
Gruß
Die 0.0.0.0 ist eine nicht routbare Standardadresse.
Was ich dir allerdings raten würde:
Bei jedem Mikrotik würde ich immer einen neuen User mit Adminrechten anlegen und den ursprünglichen admin user danach deaktivieren.
Gruß
Zitat von @michi1983:
Was ich dir allerdings raten würde:
Bei jedem Mikrotik würde ich immer einen neuen User mit Adminrechten anlegen und den ursprünglichen admin user danach deaktivieren.
Gruß
Was ich dir allerdings raten würde:
Bei jedem Mikrotik würde ich immer einen neuen User mit Adminrechten anlegen und den ursprünglichen admin user danach deaktivieren.
Gruß
Das sollte bei jedem Gerät gemacht werden, somit fällt der Standard User "admin" als Angriffsvector aus
Gruß Jasper
Also - 0.0.0.0 bedeutet idR. eben nicht das der Angriff aus dem Internet kam. 0.0.0.0 funktioniert unter Linux auch als localhost:
--> ping 0.0.0.0
PING 0.0.0.0 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.032 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.042 ms
In jedem Fall würde aber ein Angriff aus dem Internet auf die IP 0.0.0.0 scheitern weil eben keine Antwort dahin gesendet werden könnte. Was du aber siehst: Es ist generell keine gute Idee bei sowas nur hektisch zu reagieren, zumindest die log-files solltest du bei sowas generell sichern... Denn grade WENN es ein erfolgreicher Angriff gewesen wäre würdest du jetzt ja vor jeder Behörde blöd da stehen und hättest keine Möglichkeit rauszufinden das die Kinderpornos, Bombenbaupläne und die 500 Maschinengewehre eben nicht von dir bestellt wurden...
--> ping 0.0.0.0
PING 0.0.0.0 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.032 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.042 ms
In jedem Fall würde aber ein Angriff aus dem Internet auf die IP 0.0.0.0 scheitern weil eben keine Antwort dahin gesendet werden könnte. Was du aber siehst: Es ist generell keine gute Idee bei sowas nur hektisch zu reagieren, zumindest die log-files solltest du bei sowas generell sichern... Denn grade WENN es ein erfolgreicher Angriff gewesen wäre würdest du jetzt ja vor jeder Behörde blöd da stehen und hättest keine Möglichkeit rauszufinden das die Kinderpornos, Bombenbaupläne und die 500 Maschinengewehre eben nicht von dir bestellt wurden...
Dem stimme ich zwar zu, aber es ist auch viel einfacher gesagt als getan, wenn man in die Situation kommt. Netzwerke und ich werden auch leider keine Freunde mehr und da ich auf diesem Gebiet nicht sattelfest bin, agiere ich auch entsprechend unsicher, wenn etwas unerwartetes passiert.
nun - die Kopie von Logfiles zu machen ist jetzt generell nicht SOOO schwer. Hier solltest du im zweifel dir einfach anschauen wie es geht - und im zweifel dir das mal in ruhe durchlesen. Hier gehts eben um DEINE Sicherheit - jedem anderem hier im Forum wird es ziemlich egal sein ob bei dir eben doch mal jemand steht und du Ärger hast. Für jeden hier im Forum macht es eben keinen unterschieb ob du dein Netzwerk absicherst oder das WLAN offen lässt (in nem riesigen Wohngebäude) und überall die default-passwörter (oder gleich gar keine) hinterlegst.
Daher würde ich dir einfach 2 Dinge empfehlen:
a) Schauen wie man die Logfiles notfalls sichern kann
b) Backup (sowohl von deinen Daten als auch von den Configs der Geräte) - da kannst du dann nämlich ggf. einfach mal schauen ob es veränderungen gab...
Daher würde ich dir einfach 2 Dinge empfehlen:
a) Schauen wie man die Logfiles notfalls sichern kann
b) Backup (sowohl von deinen Daten als auch von den Configs der Geräte) - da kannst du dann nämlich ggf. einfach mal schauen ob es veränderungen gab...
Darum ging es mir gar nicht. Klar ist das eigentlich nicht schwer, aber in einer solchen Situation reagiert man nicht mehr rational, wenn man das nicht trainiert hat.
Bzgl. Sicherheit: Da tue ich wahrscheinlich eher zu viel als zu wenig. Ironischerweise kam ich durch mein Bestreben, mehr Sicherheit einzubauen, in die Situation.
Bzgl. Sicherheit: Da tue ich wahrscheinlich eher zu viel als zu wenig. Ironischerweise kam ich durch mein Bestreben, mehr Sicherheit einzubauen, in die Situation.
