fbpx

Como detectar e resolver o ataque de redirecionamento de http e dns do Mikrotik

Como detectar e resolver o ataque de redirecionamento de http e dns do Mikrotik

Recentemente, os roteadores Mikrotik passaram por fortes ataques de criminosos cibernéticos. O mais recente desses ataques é o ataque de redirecionamento de http e dns do Mikrotik. Esse ataque, um dos muitos ataques aos roteadores Mikrotik nos últimos tempos, redireciona todos os tráfegos http e dns para um servidor proxy / dns remoto, dando aos atacantes o poder de analisar pacotes provenientes de uma rede.

Muitos usuários sofreram esse ataque e, se você estiver usando um roteador Mikrotik com um endereço IP público atribuído, é apenas uma questão de tempo até que seu dispositivo seja comprometido, exceto que você tomou medidas para proteger seu roteador.

Neste post, veremos as alterações feitas no seu roteador assim que enfrentar o ataque de redirecionamento de http e dns do Mikrotik, como limpar seu roteador e, finalmente, como protegê-lo de novos ataques.

O que é o ataque Mikrotik http e dns redirecionar?

O ataque de redirecionamento de http e dns do Mikrotik é uma nova forma de ataque aos roteadores Mikrotik que permite que criminosos cibernéticos redirecionem o tráfego de http e dns da sua rede para um servidor proxy remoto usando a porta udp 53 e a porta tcp 80. Os atacantes atribuem IPs de dns ao seu roteador e crie regras nat de destino para redirecionar tráfegos http e dns.

Depois que essas alterações são feitas em um roteador Mikrotik, os criminosos podem relaxar e analisar pacotes das redes afetadas usando um analisador de pacotes como o Wireshark.

Como saber que seu roteador foi comprometido

Um sinalizador óbvio de que seu roteador foi atacado é que a experiência de navegação no roteador se torna repentinamente lenta, mesmo quando a utilização da largura de banda é baixa. Isso ocorre porque o servidor proxy / DNS dos invasores, para o qual os tráfegos http e DNS foram redirecionados, pode não ser projetado para suportar o número de pacotes dos roteadores Mikrotik comprometidos.

Como limpar seu roteador

Quando se depara com um problema como esse, o que vem à mente é reiniciar o roteador. Esta opção não resolve completamente o problema, pois os atacantes têm arquivos instalados no sistema. Esses arquivos não são apagados, mesmo quando o roteador é redefinido.

Em uma situação como essa, é necessária uma avaliação cuidadosa do que foi feito. Depois disso, o usuário deve implementar medidas corretivas e preventivas manuais destinadas a proteger o roteador.

Remova o endereço IP do servidor DNS do rougue

Remova o endereço DNS não autorizado atribuído ao roteador. Clique em IP> DNS e remova todos os endereços IP do servidor DNS não atribuídos por você. Consulte o guia abaixo:

Remover NAT de destino na porta 8080

Na regra nat do firewall, duas regras de redirecionamento geralmente são criadas para redirecionar solicitações http e dns para servidores remotos. Os endereços IP desses servidores geralmente são inseridos como servidores DNS primário e secundário no menu seb IP> DNS dos roteadores afetados. Os invasores configuram duas regras nat de destino para redirecionar o tráfego http e dns para esses endereços IP.

Clique em IP> firewall> NAT e remova essas regras.

Remova todos os arquivos de backup não instalados por você

Arquivos adicionais podem ser encontrados no menu arquivo de um roteador afetado. Esses arquivos permanecem no roteador mesmo após a redefinição. Clique no arquivo e remova todos os arquivos não instalados por você.

Proteja seu roteador contra novos ataques

Para proteger seu roteador, crie regras de filtro de firewall encadeadas por entrada que eliminarão todo o acesso ao roteador por meio do IP público nas portas selecionadas. Essas portas incluem 21, 22, 23, 80, 161, etc. Veja a imagem abaixo.

Para garantir que apenas IPs autorizados possam efetuar login no roteador, adicione IPs permitidos aos usuários no submenu do usuário. Ver abaixo.

Se você gostou deste tutorial, assine meu canal do YouTube !

Deixe uma resposta

0