我有一台全新的 MikroTik 路由器,出厂时行为异常(出厂时使用 RouterOS 7.11 版,升级到 7.14.1,默认管理员帐户已禁用)——即使其配置已完全重置,它也会向 Internet 上的随机 IP 地址发送 SYN 数据包(是的,数据包正在通过输出链,而不是输入链)。要么是我不明白(这是可能的),要么是路由器上有一些恶意软件。所以此时我有两个问题:
- 鉴于 2018 年和 2021 年全球范围内多次大规模感染 MikroTik 路由器的既往历史,这些感染是否仅限于路由器配置(可以在 WinBox 中轻松检查并通过配置重置将其删除)还是它们是否以二进制代码的形式实现,通过漏洞注入并秘密与 RouterOS 并行执行,并在配置重置后持续存在?
- 我如何才能彻底清除路由器上的所有内容(包括所有已安装的固件),以便我可以通过 NetInstall 重新安装我可以信任的 RouterOS 映像?我已阅读制造商关于路由器重置的文档(https://wiki.mikrotik.com/wiki/Manual:Reset) 并发现它不完整且令人困惑,因为它没有清楚地解释使用一个或另一个重置选项时将重置什么。
答案1
“即使其配置完全重置,它也会向互联网上的随机 IP 地址发送 SYN 数据包”并不会自动表明受到攻击,如果 a) 那些是 SYN/ACK回复数据包,并且您忽略了 ACK 部分 - 您没有指定源端口号和目标端口号,因此从帖子中看不出来 - 或者 b)这些 IP 地址属于 Mikrotik 的“云”服务,RouterOS 使用它来更新其时间并确定其外部 IP 地址。
我依稀记得,两种情况都出现过,只是在不同时期。
您已经可以使用 Netinstall 来做到这一点,而无需执行完全擦除。Netinstall文档明确地说它在此过程中“重新格式化设备的磁盘”。
答案2
我购买了 100 多台 mikrotik 设备,只见过 2 次这个问题(而且我没有理由这样做)!如果您已重置路由器(如您所述),请直接通过 LAN 连接到第一个端口。打开 winbox 并使用其下或盒子下标记的设备信息,然后手动写入第一个以太网 mac 地址作为地址。对于用户名和密码,如果设备标签上没有打印任何内容,只需使用“admin”作为用户名并将密码留空。现在您可以连接到路由器了。