Hai all, kali ini saya mau sharing pengalaman ketika mikrotik saya terkena malware . Merujuk dari Mikrotik.Co.Id, Belum diketahui secara pasti bagaimana penyerang dapat meng-inject malware ini ke mikrotik, namun dugaan kuat si penyerang mengeksploitasi port www (tcp 80) pada setiap device target melalui ip public yang terpasang pada interface WAN.
Saya mendapat anomali traffic ketika sedang melihat-lihat interface mikrotik, di jam 12 malam traffic nya mencapai 20an Mbps, padahal tidak ada orang dikantor dan melihat dari interface yang menuju client / access point, traffic nya sangat kecil. Jadi kesimpulannya mikrotik saya seperti dijadikan target / zombie oleh attacker. Mungkin mereka menggunakan mikrotik saya untuk menyerang website lain sehingga IP Attacker terbaca sebagai IP Saya karena source nya lewat mikrotik saya. Ini saya kasi capturan anomali traffic tersebut.
Saya termasuk cupu dalam hal mikrotik, masih harus banyak belajar, Alhamdulillah kali ini saya mendapat pelajaran dan semoga pengalaman saya bisa membantu agan-agan sekalian bila mengalami hal yang sama seperti saya.
Karena google adalah the master of everything,,,, langkah pertama yang saya lakukan adalah googling.... Entah kata kunci apa yang harus saya cari digoogle,,,, satu persatu saya ketik,,, sampai akhirnya saya ketik "Mikrotik Virus" dan ketemulah artikel "Penanggulangan malware VPNFilter" dari mikrotik.co.id. Melihat dari indikasinya, sepertinya mikrotik saya terkena serangan malware jenis ini. Saya pun melakukan apa yang ditulis disana dan boom,,, Alhamdulilllah malware nya ter-block,,,,
initinya adalah Secara tidak sengaja, pada saat mengaktifkan fitur "web-proxy" atau "allow-remote-request" pada setting DNS, kita lupa bahwa layanan tersebut dapat diakses dari interface mana saja, termasuk dari WAN. Sehingga, pada kasus ini Firewall Filter harus dibuat untuk melakukan blocking traffic request DNS, Web-Proxy maupun traffic tidak dikenal lain yang masuk ke Router. Pada langkah ini kita bisa menggunakan Firewall Filter chain=input
itulah yang saya dapatkan dari artikel tersebut.
Setelah saya jalankan rule firewall, anomali traffic pun hilang...lang...lang,,,, traffic saya back to normal dan belum ada indikasi problem di jaringan lokal saya.
Alhamdulillah, makasi google, makasi mikrotik.co.id
Hello, welcome to my blog.
No comments:
Post a Comment