Jak sprawdzić, czy dotknął mnie atak na Winbox?

W dalszym ciągu głośno jest na temat luki w Winbox. Dla przypomnienia dotyczy ona nieaktualnych wersji RouterOS, a dokładniej tych od 6.29 do 6.42

Wydana przez Mikrotik wersja RouterOS 6.42.1 (current), jak i 6.40.8 (bugfix) łata podatność.

O luce na stronie pisał już m.in. Daniel : http://mikrotikacademy.pl/luka-w-routeros/

Poniżej znajdziecie skrypt, który w łatwy i szybki sposób pozwoli na ocenę czy zarządzany przez nas router został przejęty, zainfekowany czy jakkolwiek to określimy.

Skrypt sprawdza:

  • czy socks jest włączone?
  • czy istnieją pliki o nazwie zawierającej [Mm]ikrotik.php?
  • czy istnieją skrypty zawierające w kodzie [Mm]ikrotik.php?
  • czy są zaplanowane działania gdzie wyzwalaczem jest [Mm]ikrotik.php?
  • czy są użytkownicy lokalni o nazwie zawierającej słowo service?

Kod znajdziecie poniżej.

UWAGA: Koniecznie zapoznaj się z sposobem użycia.