wimaflix
Goto Top

SSH - fataler Fehler?

Hallo alle zusammen,

ich experimentiere gerade mit SSH Zugriff auf den Mikrotik. Dazu habe ich einen User erstellt und diesem das öffentliche Zertifikat zugewiesen. Nun ist mir bei den aktiven Usern folgendes aufgefallen:

user admin logged in from 0.0.0.0 via local

Ich geh davon aus, dass ein erfolgreicher Angriff stattgefunden hat. Mit ist aber absolut nicht klar, wie ich das verursacht haben könnte, vor dem Mikrotik hängt eigentlich noch eine Fritzbox, dort sind keinerlei Portweiterleitungen eingetragen. Beim SSH-Service ist eingetragen, dass nur logins aus meinem lokalen Netz akzeptiert werden. Bei den Usern hatte ich allerdings keine Einschränkung hinterlegt. Auch die Login-Zeit war identisch zu meiner.

Ich weiss gerade nicht, wie ich das interpretieren soll...

VG
wimaflix

Content-Key: 7989755961

Url: https://administrator.de/contentid/7989755961

Printed on: February 24, 2024 at 16:02 o'clock

Member: michi1983
michi1983 Jul 29, 2023 updated at 13:16:55 (UTC)
Goto Top
Hallo,

zeige doch mal einen Screenshot wo diese „Meldung“ her kommt und wie deine Einstellungen am Mikrotik aussehen.

Ich verstehe nicht ganz genau was du mit „Angriff“ meinst.

Ich würde aktuell behaupten, dass alles passt so wie es ist (anhand der Infos die du uns gegeben hast).

Gruß
Member: wimaflix
wimaflix Jul 29, 2023 at 14:44:17 (UTC)
Goto Top
Leider habe ich in dem Moment Panik bekommen, den Router neu gestartet und alles rückgängig gemacht sowie das admin-Passwort geändert.

Der Eintrag war unter System - Users - Active Users zu sehen. Aktuell sieht das bei mir so aus:

active-users

Zu dem Zeitpunkt hatte ich dort drei Einträge. Der erste wie auf dem Bild zu sehen via web, der zweite via SSH (gleiche IP) und einmal via local mit 0.0.0.0. Der Zeitstempel des local-Eintrags war identisch mit dem via SSH.

Das Zertifikate hatte ich ohne passphrase auf meinem PC erstellt und übertragen :

ssh-keygen -t rsa -b 8192
scp .ssh/mt-access.pub  admin@172.16.1.1:mt-access.pub

Dann einen User ssh-vw erstellt, Rechte identisch mit dem admin, Passwort 12345, Passwörter wollte ich wenn es funktioniert deaktivieren.

new-user

Dann unter System - Users - SSH-Keys für den User ssh-vw das Zertifikat mt-access.pub importiert. Danach eingeloggt mit

ssh -i ~/.ssh/mt-access  -o 'PubkeyAcceptedKeyTypes=ssh-rsa' ssh-vw@172.16.1.1  

Nur mit ssh-vw@172.16.1.1 wurde ich immer nach dem Passwort gefragt, kam aber nie rein.

Weitere Einstellungen:
IP - SSH: Dort hatte ich die Host Key Size auf 8192 geändert und Regenerate Host Key gemacht.

ssh

IP Services: Keine Änderung gegenüber vorher.

services

Was mir Sorgen macht: 0.0.0.0 bedeutet doch, dass der Zugriff von außerhalb kam? Ich verstehe aber das "local" in dem Zusammenhang nicht.
Member: michi1983
Solution michi1983 Jul 29, 2023 at 16:43:21 (UTC)
Goto Top
Okay, ich bleibe dabei, das passt schon so.
Die 0.0.0.0 ist eine nicht routbare Standardadresse.

Was ich dir allerdings raten würde:
Bei jedem Mikrotik würde ich immer einen neuen User mit Adminrechten anlegen und den ursprünglichen admin user danach deaktivieren.

Gruß
Member: JasperBeardley
JasperBeardley Jul 29, 2023 at 17:14:35 (UTC)
Goto Top
Zitat von @michi1983:


Was ich dir allerdings raten würde:
Bei jedem Mikrotik würde ich immer einen neuen User mit Adminrechten anlegen und den ursprünglichen admin user danach deaktivieren.

Gruß

Das sollte bei jedem Gerät gemacht werden, somit fällt der Standard User "admin" als Angriffsvector aus

Gruß Jasper
Member: maretz
maretz Jul 29, 2023 at 18:35:06 (UTC)
Goto Top
Also - 0.0.0.0 bedeutet idR. eben nicht das der Angriff aus dem Internet kam. 0.0.0.0 funktioniert unter Linux auch als localhost:

--> ping 0.0.0.0
PING 0.0.0.0 (127.0.0.1) 56(84) bytes of data.
64 bytes from 127.0.0.1: icmp_seq=1 ttl=64 time=0.032 ms
64 bytes from 127.0.0.1: icmp_seq=2 ttl=64 time=0.042 ms

In jedem Fall würde aber ein Angriff aus dem Internet auf die IP 0.0.0.0 scheitern weil eben keine Antwort dahin gesendet werden könnte. Was du aber siehst: Es ist generell keine gute Idee bei sowas nur hektisch zu reagieren, zumindest die log-files solltest du bei sowas generell sichern... Denn grade WENN es ein erfolgreicher Angriff gewesen wäre würdest du jetzt ja vor jeder Behörde blöd da stehen und hättest keine Möglichkeit rauszufinden das die Kinderpornos, Bombenbaupläne und die 500 Maschinengewehre eben nicht von dir bestellt wurden...
Member: wimaflix
wimaflix Jul 29, 2023 at 19:26:09 (UTC)
Goto Top
Dem stimme ich zwar zu, aber es ist auch viel einfacher gesagt als getan, wenn man in die Situation kommt. Netzwerke und ich werden auch leider keine Freunde mehr und da ich auf diesem Gebiet nicht sattelfest bin, agiere ich auch entsprechend unsicher, wenn etwas unerwartetes passiert.
Member: maretz
maretz Jul 30, 2023 at 04:09:43 (UTC)
Goto Top
nun - die Kopie von Logfiles zu machen ist jetzt generell nicht SOOO schwer. Hier solltest du im zweifel dir einfach anschauen wie es geht - und im zweifel dir das mal in ruhe durchlesen. Hier gehts eben um DEINE Sicherheit - jedem anderem hier im Forum wird es ziemlich egal sein ob bei dir eben doch mal jemand steht und du Ärger hast. Für jeden hier im Forum macht es eben keinen unterschieb ob du dein Netzwerk absicherst oder das WLAN offen lässt (in nem riesigen Wohngebäude) und überall die default-passwörter (oder gleich gar keine) hinterlegst.

Daher würde ich dir einfach 2 Dinge empfehlen:
a) Schauen wie man die Logfiles notfalls sichern kann
b) Backup (sowohl von deinen Daten als auch von den Configs der Geräte) - da kannst du dann nämlich ggf. einfach mal schauen ob es veränderungen gab...
Member: wimaflix
wimaflix Jul 30, 2023 at 08:20:18 (UTC)
Goto Top
Darum ging es mir gar nicht. Klar ist das eigentlich nicht schwer, aber in einer solchen Situation reagiert man nicht mehr rational, wenn man das nicht trainiert hat.

Bzgl. Sicherheit: Da tue ich wahrscheinlich eher zu viel als zu wenig. Ironischerweise kam ich durch mein Bestreben, mehr Sicherheit einzubauen, in die Situation.