Attacco telnet da subnet proprietarie

[sincerbex]

Buongiorno a tutti.
da qualche giorno noto dei tentativi di attacco da miei ip su miei ip.
ma come fa un ip qualsiasi,random, delle mie subnet a tentare l'accesso telnet su altri miei ip?
mi sta succedendo questo e non ne capisco il motivo.
l'attaccante riesce a mascherare il suo ip col mio?
oppure le cpe sono state infettate??es cpe con versione vecchissime 6.22?

ovviamente sto bloccando tutto da firewall, ma devo capire cosa sta succedendo.
contemporaneamente negli ultimi 2 giorni ho sostituito circa 10 antenne(con ip pubblico) perchè si riavviavano continuamente, pensavo fosse dovuto al maltempo. mezz'ora dopo aver messo antenna nuova in circa 3 clienti e rispuntato il problema. pare che abbia risolto filtrando l'accesso sulla 80 e sulla 8291 delle cpe. IMPORTANTE tutte queste antenne che andavano in reboot loop avevavo la 6.22
e proprio 2 giorni fa sulla pagina facebook di mikrotik hanno pubblicato un articolo che parla di vulnerabilità sulla 80 e sulla 8291.
potrebbero essere correlati tutti questi eventi?
grazie a tutti per il supporto e buona giornata

[figheras]

Buongiorno a tutti.
da qualche giorno noto dei tentativi di attacco da miei ip su miei ip.
ma come fa un ip qualsiasi,random, delle mie subnet a tentare l'accesso telnet su altri miei ip?
mi sta succedendo questo e non ne capisco il motivo.
l'attaccante riesce a mascherare il suo ip col mio?
oppure le cpe sono state infettate??es cpe con versione vecchissime 6.22?

ovviamente sto bloccando tutto da firewall, ma devo capire cosa sta succedendo.
contemporaneamente negli ultimi 2 giorni ho sostituito circa 10 antenne(con ip pubblico) perchè si riavviavano continuamente, pensavo fosse dovuto al maltempo. mezz'ora dopo aver messo antenna nuova in circa 3 clienti e rispuntato il problema. pare che abbia risolto filtrando l'accesso sulla 80 e sulla 8291 delle cpe. IMPORTANTE tutte queste antenne che andavano in reboot loop avevavo la 6.22
e proprio 2 giorni fa sulla pagina facebook di mikrotik hanno pubblicato un articolo che parla di vulnerabilità sulla 80 e sulla 8291.
potrebbero essere correlati tutti questi eventi?
grazie a tutti per il supporto e buona giornata

Le tue RB sono state hackerate!!Si tratta di un exploit che fa eseguire dei comandi remoti!
Vedi: https://www.exploit-db.com/author/?a=9357
E' capitato anche a me su dei client, stesso sintomo! Ho notato anche che se vai su "ip service" vedrai il servizio www tracciato in rosso e quello è uno dei comportamenti che ti fa capire che l'apparato è stato compromesso. Per risolvere basta aggiornare la RB ad una versione superiore alla 6.38.4. Lascia attivo il servizio www prima di installare il fw perchè dopo l'installazione, routerOS eseguira un controllo di integrità andando a fare un fix del dispositivo hackerato.
Tutte le RB esposte ad internet con versione fino a 6.38.4 sono vulnerabili a questo tipo di attacco pertanto ti consiglio di metterle subito ai ripari!

[sincerbex]

si avevo intuito si trattasse di questo. mi serviva solo la tua conferma.
grazie e a presto