Pershendetje,

Pasi qe per momentin ka shume Mikrotika te hackuar, duhet te realizoni disa hapa qe ta zhbllokoni perseri Mikrotikun tuaj per qasje. 

Zakonisht hackerat ne kete rast aplikojne disa gjera : 

1. Ndalin komplet portin 8291 - ose servisin e WINBOXIT.
2. Portin 80 per krejt klientat e redirektojne ne webproxy 8080 per ta perdorur per MINING. 


Per te arrit perseri qasje duhet te qaseni ne Mikrotik. Pasi qe Servicest bazohen ne IP e vetmja qasje qe ju mbetet eshte me MAC - dmth ne L2 connectivity te qaseni ne mikrotikun tuaj.
Per kete arsye shfrytezoni Neigbor List -> dhe kyquni me mac telnet .


Pas qasjes ne routerin tuaj shtypeni komanden : 

ip service print 

-> dhe e shiqoni me qfar numri identifikues eshte servisi i winboxit. 

ip service enable 6

-> e leshoni prap servisin e winboxit.



Pas kesaj ju mund te kyqeni perseri ne WINBOX dhe duhet te shiqoni tek
IP -> firewall -> nat 

dhe kerkoni per nje rule - rregull qe e forwardon portin 80 ne portin 8080 - webproxy .
Info : Shiqoni sepse mund te egzistoj edhe nje tjeter qe eshte vetem per klientat e skadur -> dmth qe source list -> e ka expired_clients dhe ai rule eshte ne rregull dhe s`duhet te deaktivizohet perndryshe klientat e skaduar mund te qasen ne internet nese e deaktiivzoni ate. Ruli qe hackerat e shtojne nuk e ka fare source address list dhe i forwardon te gjithe klientat edhe ata qe jane aktive. 


Zakonisht Hackera te vendosin nje pool tjeter ose fare nuk e selektojn src. address list ->
Nese nuk selektohet i bie qe te gjithe klientat do i forwardojne ne webproxy qe te mund ta shfaqin nje faqe te caktuar per ta. 

Nese e zgjedhin keshtu !OK -> i bie qe prap do te forwardohen te gjithe klientat pasi klientat aktive dhe ata jo aktive prap se prap nuk jane ne kete list. 

Me e mira do te ishte te fshini kete rule komplet nga mikrotiku ose disable. 



Pas kesaj shiqoni edhe tek Filter Rules dhe de-aktivizoni rule qe eshte sysadminproxy sepse edhe ai eshte i panevojshem ne kete rast. 



Gjithashtu shko tek System Scheduler dhe Scripts -> qe te fshish qdo script te instaluar nga hackeret. 


Qe ta sigurosh mikrotikun per herave te tjera ju lutem aplikoni disa siguri shtes si: 

1. Nderroni userin admin ne ndonje user tjeter 

/user print
/user set 0 name=myname


2. 


Access password

Routerat e mikrotikut kerkojn password, sugjerojme qe te perdorni ndonje gjenerim te passwordit per te krijuar nje password te sigurt dhe jo te perseritshem . Kete mund ta realoni direkt nga mikrotiku


Kete mund ta realozoni edhe nepermjet terminal me komandat e meposhtme : 

/user set 0 password="!={Ba3N!"40TуX+GvKBz?jTLIUcx/,"

Menyra tjeter per ta vendos nje password eshte nga terminali te shtypni kete komand-.

/password 


Ju lutem sigurohuni qe passwordin se merr askush. 

Keshille: lejoni qasjen ne winbox me userin e caktuar vetem nga nje ip dhe gjithashtu tek ip services lejoni qasjen nga ip e caktuar.  Perveq faktit qe firewalli te bllokon nga qasjen e pa-autorizuara, qasja e lejuara nga nje ip e caktuar eshte gjithmone me e mira. 

/user set 0 allowed-address=x.x.x.x/yy
/ip service set winbox address=192.168.88.0/24


Lejoni vetem sherbimet me te sigurta : Bllokoni telnet. 

/ip service disable telnet,ftp,www,api,api-ssl
/ip service print 


Nderroni portin e ssh 

/ip service set ssh port=2200
/ip service print 


Keto dhe keshilla tjera i gjeni tek : 

https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router


Ky eshte hapi me i vogel per ta siguruar rrjeten. 

Aty gjithashtu i gjeni edhe disa firewall rules - rregulla qe ju ndihmojne per siguri shtes - ip firewall filter drop per te bllokuar porta te ndryshem direkt ne mikrotik nga firewalli. 


Deri tani keni punuar per tu rritur, punoni sot qe te siguroni routerat tuaj nga qasja e pa-autorizuar pasi edhe kjo eshte pjes e punes ne rrjete. Perndryshe nese deshironi ne kemi mundesi te mirembajme rrjeten tuaj dhe te ju supportojme ne lidhje me keto siguri, mirepo duhet te realizojme ndonje kontrat qe te mund te rrijme update per problemet e ndryshme neper mikrotika, routera, cmts, olt etj. 


Qdo humbje kohe eshte e kushtueshme dhe prandaj po e bej kete dokumentacion per ata te cilet s`deshirojne me pagu dhe deshirojne qe ti bejn gjerat vet. Per ata qe s`kan mundesi ti bejn gjerat vet gjithmon egziston mundesia e kontrates mujore per support.


https://asmart.freshdesk.com/support/solutions/articles/22000218862-kontrata-per-perkrahje-teknike


Ose ONE-TIME configuration mund ta realizojme per te siguruar routerat e juaj per shumen prej 100€-. 


Me kete shume ju ndihmojme ne lejimin e qasjes nga nje ip e caktuar dhe se bashku me ju i aplikojme disa siguri brenda disa routerave dhe te tjeret i realizoni pa problem vet me vendosjen e komandave automatike per ju. 


Shpresoj qe ky dokumentacion te ju ndihmoj per probleme te tilla dhe te ju bej me dije qe siguria eshte sot per sot shume e domosdoshme. 


Ja sa leht eshte te thesh passwordin e mikrotikut me vetem nje script : 

https://github.com/BasuCert/WinboxPoC


Suksese,

Nori