Script Mikrotik Untuk Mendeteksi dan Merestore Jika Terkena Hack (Restore Protected Bootloader, winbox dan mac-server)
Postingan ini di ketik karena nasib miris rekan kami, yang mana semua router mikrotik nya terkena hack sehingga tidak bisa di login, di reset maupun di net install. Akibatnya semua routernya harus di ganti baru :(.
Besar kemungkinan router yang terkena hack, service winbox-nya di disable, bagian protected bootloader-nya (protected-routerboot) di aktifkan begitu pula mengganti nilai reformat-hold-button dan reformat-hold-button-max dengan nilai yang tidak diketahui sehingga untuk melakukan reset maupun netinstall tidak bisa dilakukan karena kita tidak mengetahui berapa lama tombol reset harus ditekan.
Script berikut bukan untuk memproteksi dari serangan hacker, tapi lebih kepada otomasisasi untuk me-restore atau mengembalikan settingan yang di ubah hacker ke nilai default (bukan reset semua konfigurasi ke bawaan pabrik).
Jadi Script ini di sematkan pada mikrotik yang belum terinfeksi ya teman teman.
Berikut scriptnya :
#Silahkan ganti variable berikut sesuai keinginan
#cek protected-routerboot? isi variabel dengan yes/no
:local cekprotboot "yes";
#cek winbox? isi variabel dengan yes/no
:local cekwinbox "yes";
:local portwinbox "8291";
:local allowaddress "0.0.0.0/0";
#tambah login darurat? isi variabel dengan yes/no
:local addlogin "yes";
:local usr "darurat";
:local passw "4dm1n123";
#reset proxy? isi variabel dengan yes/no
:local resprox "yes";
#reset mac server? isi variabel dengan yes/no
:local resmac "yes";
############################# Jangan Di edit #############################
:local valprotboot;
:local valrefholdbutton;
:local valrefholdbuttonmax;
:local cekwinbox;
:local ffilter [/ip firewall fil find comment="Drop Winbox Exploit"];
# Set local Input
:set valprotboot "$[/system routerboard setting get protected-routerboot]"
:set valrefholdbutton "$[/system routerboard setting get reformat-hold-button]"
:set valrefholdbuttonmax "$[/system routerboard setting get reformat-hold-button-max]"
:set valwinbox "$[/ip serv get winbox disabled]"
#cek winbox
:if ($cekwinbox ="yes") do={
# Cek apakah service winbox ter-disabled
:if ($valwinbox ="true") do={
ip service set winbox port=$portwinbox disabled=no address=$allowaddress
:if ([:len $ffilter] != 0) do={
/ip fire fil ena [find comment="Drop Winbox Exploit"]
} else={
/ip firewall filter add chain=input content=user.dat action=drop comment="Drop Winbox Exploit"
}
:if ($addlogin ="yes") do={
/user add name=$usr password=$passw group=full
}
}
/ip service set winbox port=$portwinbox address=$allowaddress
}
#reset proxy
:if ($resprox ="yes") do={
/ip proxy set enabled=no
/ip proxy set port=8080
/ip socks set enabled=no
/ip socks set port=1080
}
#reset mac server
:if ($resmac ="yes") do={
/tool mac-server set allowed-interface-list=all
/tool mac-server mac-winbox set allowed-interface-list=all
/tool mac-server ping set enabled=yes
}
#cek protected bootloader
:if ($cekprotboot ="yes") do={
# Cek apakah Bootloader berubah menjadi Enable
:if ($valprotboot ="enabled") do={
/system identity set name="BOOTLOADER > Min:$valrefholdbutton - Max:$valrefholdbuttonmax"
# Kembalikan BootLoader ke default
/system routerboard setting set protected-routerboot disabled
/system routerboard setting set reformat-hold-button=20s
/system routerboard setting set reformat-hold-button-max=10m
:delay 5s
#proteksi user.dat
:if ([:len $ffilter] != 0) do={
/ip fire fil ena [find comment="Drop Winbox Exploit"]
} else={
/ip firewall filter add chain=input content=user.dat action=drop comment="Drop Winbox Exploit"
}
#login darurat
:if ($addlogin ="yes") do={
/user add name=$usr password=$passw group=full
}
# Restart Mikrotik
/system reboot
}
}
Script diatas melakukan perubahan pada :
1. Mengembalikan service winbox yang biasanya di non aktifkan hacker
2. Mengembalikan setingan web-proxy dan sock ke default
3. Mengembalikan setingan Protected Bootloader ke default
4. Mengembalikan setingan mac-server agar bisa di remote kembali via mac address
5. Menambahkan login user darurat karena kadang hacker menghapus data login kita
Script ini dapat di letakan pada schedule task, netwatch atau dimana pun sesuai keinginan kita dan silahkan edit variable sesuai kebutuhan.
Semoga dapat membantu.
Mantab gan, cara pasang script bagaimana, apkah pada saat mikrotik kita yg sekarang masih normal dan bisa di pake
BalasHapusscript dipasang pada mikrotik yang belum terinfeksi
Hapusterima kasih mas..kebetulan network punya rekan saya lagi kena hack..semua perangkat mikrotik tidak bisa di akses via winbox, ssh,telnet dan muncul identiti baru. kalau saya copas langsung ke mikrotik sy yg masih normal bisa kan mas?
BalasHapus