Acesso Indevido

Pessoal, quem acessa o MK remotamente já verificou se o LOG mostra várias tentativas de acesso via web?

Sei que isto não está vindo da minha rede, até porque são usuários leigos e o IP não é o da minha rede, isto está acontecendo de 2 a 3 vezes por dia, em destas tentativas pesquisei a origem do IP que foi identificado com sendo da China.

Observe na tela em anexo que são tentativas com vários usuários, parace um script criado para acessar. [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Agradeço a quem poder ajudar.

Mude as portas padrões de acesso em IP > Services

Vou mudar e depois posto.
Aproveitando a oportunidade, usei o script abaixo que retirei do site wikimikrotik.com, justamente para modem roteado, funciona, porém caso haja uma queda no link, naturalmente o IP muda, e o script não atualiza no site changeip, aí não consigo mais acessar remotamente, até que manualmente eu faça a atualização. O que será que está errado?

:local user "user"
:local pass "pass"
:local host "host"
##############
##############
:global lastwanip;
:if ([ :typeof $lastwanip ] = "nothing" ) do={ :global lastwanip 0.0.0.0 };
:local wanip [:resolve $host];
:if ( $wanip != $lastwanip ) do={
/tool fetch mode=http address="checkip.dyndns.org" src-path="/" dst-path="/dyndns.checkip.html"
:local result [/file get dyndns.checkip.html contents]
:local resultLen [:len $result]
:local startLoc [:find $result ": " -1]
:set startLoc ($startLoc + 2)
:local endLoc [:find $result "" -1]
:local currentIP [:pick $result $startLoc $endLoc]
:set lastwanip $currentIP;
:put [/tool dns-update name=$host address=$currentIP key-name=$user key=$pass ]
}

Mude a linha abaixo:

Código:

:local endLoc [:find $result "" -1]

Para:

Código:

:local endLoc [:find $result "</body>" -1]

e veja se resolve.

ZBTECK escreveu:Mude as portas padrões de acesso em IP > Services

Caro ZBTECK, desculpe a demora na resposta, mas os último dias foram muito corridos pra mim, só hoje pude parar para fazer as alterações propostas por você, a sua dica foi muito valiosa, fiz a alteração da porta e até o momento não houve acesso indevido, porém vale ressaltar que aparentemente o site changeip está fora, pois não consigo acessa-lo nem de fora da minha rede, mesmo assim creio que a sua dica surtirar efeito, caso contrário posto novamente.

Fica aqui a mesma explicação para a alteração da linha de comando do script para o changeip.

Mesmo que não funcione, desde já quero agradecer pela atenção dispensada, e a velocidade na resposta.

Ok. Obrigado pelo retorno, assim o tópico não fica sem uma solução e serve para outros com mesmo problema.

Hoje o CI estará em manutenção, na maior parte do dia, para atualização de sua infra-estrutura.

Código:

Dear ChangeIP.Com Customers,

This planned change window is about to start.

We have scheduled a change window to perform infrastructure updates.  Here are
the core details:

DATE: Saturday, January 12th, 2013
TIME: 14:00 UTC through 23:00 UTC
AFFECTED SERVICES:
- Web redirection services
- DNS record update services (dynamic DNS updates)
- Hosted web sites / services, including account management

Each of the above services will have periods of down time during the change window.


Olá ZBTECK, agora que o site da CI voltou, tentei fazer o teste daqui do trabalho, mas não obtive êxito. Neste momento estou sem acesso ao meu MK. Ah detalhe, como eu mudei o a porta do meu MK quando tento acessar remotamente tenho que colocar após o endereço criado no CI :(2 pontos) e o numero criado?

Ex.: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Qual a versão do RouterOS que usa? testei na 5.22 e funcionou (as vezes, eles mudam a sintaxe dos comandos entre versões).
Sim. Se mudou a porta, a mesma deve ser digitada após o nome do host precedido pelos : (como citou).

A primeira coisa a se verificar é se o IP está sendo atualizado no CI (logar no site e ver se o ip corresponde ao atual). caso esteja, pode haver outra barreira.

Minha versão é 5.16, observei também que lá no CI não está atualizando, será que a sintaxe é diferente neste caso?

Não. Aparentemente há problemas (com scripts) ainda com o CI. Sugiro fazer cadastro em outro DDNS (eu tenho em dois, justamente para estes casos).

Vou criar outro usuário com a mesma conta, depois te informo.

ZBTECK escreveu:Não. Aparentemente há problemas (com scripts) ainda com o CI. Sugiro fazer cadastro em outro DDNS (eu tenho em dois, justamente para estes casos).

Caro ZBTECK, resolvido o problema, realmente deveria ser algum problema com o domínio criado.
Resolvi ciando um novo domínio, porém com a mesma conta, não precisei refazer.
Agora algo não mudou, mesmo tendo alterado o numero da porta para 8292, os "acessos indevidos" que foi o motivo principal deste tópico, continuam as tentativas. A minha pergunta é, eu posso colocar qualquer numero aleatoriamente para funcionar como porta do MK?

As tentativas anteriores eram por SSH e não na porta do winbox. Voce trocou as portas destes serviços (ssh e telnet)?

Acabei de mudar, vou esperar para ver se continuará, a última tentativa que houve foi ontem, postarei assim que constatar que funcionou.

Você não me respondeu se posso colocar numeros aleatórios.

claudioanjos escreveu:...Você não me respondeu se posso colocar numeros aleatórios.

Desde que a porta não esteja listada no link abaixo, esteja no intervalo entre 49152-605572 e não esteja já redirecionada para alguma máquina de sua rede; ok.

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Olá Zbteck, demorei pra retornar desta vez, mas enfim, está tudo ok agora, com excessão do acesso remoto que voltei a atulizar o IP no Changerip manualmente.

Mas não tenho pretensão de abrir uma conta no dyndns por que é pago e sinceramente, estou pensando seriamente em acabar com a minha rede, afinal de contas como não tenho liberação da Anatel para compartilhar, prefiro sair da ilegalidade.

Mesmo assim obrigado pelas suas dicas, aprendi muito.

Cara vc tem que bloquear o SSH vc, vai na aba IP/SERVICES
desabilitar o SSH e TELNET

espero ter ajudado falow

regialvessousa escreveu:Cara vc tem que bloquear o SSH vc, vai na aba IP/SERVICES
desabilitar o SSH e TELNET

espero ter ajudado falow

Ajudou sim e muito, nunca mais houve tentativa de acesso remoto. Obrigado pela dica!