{"id":27379,"date":"2021-09-23T08:07:26","date_gmt":"2021-09-23T06:07:26","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27379"},"modified":"2021-09-23T08:19:08","modified_gmt":"2021-09-23T06:19:08","slug":"how-to-protect-mikrotik-from-meris-botnet","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/how-to-protect-mikrotik-from-meris-botnet\/27379\/","title":{"rendered":"Router-Schutz f\u00fcr MikroTik-Benutzer"},"content":{"rendered":"<p>Vor Kurzem erzielten <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/new-m-ris-botnet-breaks-ddos-record-with-218-million-rps-attack\/\" target=\"_blank\" rel=\"noopener nofollow\">gro\u00df angelegte DDoS-Angriffe<\/a> mittels eines neuen Botnets namens M\u0113ris fast 22 Millionen Anfragen pro Sekunde. Laut des <a href=\"https:\/\/blog.qrator.net\/en\/meris-botnet-climbing-to-the-record_142\/\" target=\"_blank\" rel=\"noopener nofollow\">Berichts vom Qrator Labs<\/a>, haben die Netzwerkger\u00e4te von MikroTik einen betr\u00e4chtlichen Anteil des Traffics des M\u0113ris-Botnets generiert.<\/p>\n<p>Experten von MikroTik analysierten die Situation und fanden keine neuen Schwachstellen in den Routern der Firma, doch altbekannte Sicherheitsl\u00fccken k\u00f6nnen auch heute noch eine Gefahr darstellen. Aus diesem Grund empfehlen wir allen Benutzern von MikroTik-Routern sich zu vergewissern, dass ihr Router nicht Teil des M\u0113ris-Botnets (oder eines anderen Botnets) geworden ist.<\/p>\n<h2>Warum MikroTik-Router f\u00fcr das Botnet gekapert werden<\/h2>\n<p>Vor einigen Jahren entdeckten IT-Sicherheitsforscher eine <a href=\"https:\/\/www.kaspersky.ru\/blog\/web-sas-2018-apt-announcement-2\/19874\/\" target=\"_blank\" rel=\"noopener\">Sicherheitsl\u00fccke in MikroTik-Router<\/a>: Winbox, ein Konfigurationstool f\u00fcr MikroTik-Router, \u00fcber das massenhaft Ger\u00e4te kompromittiert wurden. Obwohl das Unternehmen die L\u00fccke bereits im Jahr 2018 mit einer neuen Firmware-Version f\u00fcr die betreffenden Router abgesichert hatte, wurde das Problem dadurch gr\u00f6\u00dftenteils nicht gel\u00f6st, weil viele Benutzer ihre Router nicht aktualisierten.<\/p>\n<p>Andere Benutzer aktualisierten zwar ihre Router, folgten aber nicht den Empfehlungen des Unternehmens, auch ihre Passw\u00f6rter zu \u00e4ndern. Vermutlich erbeuteten die Angreifer damals Zugangsdaten zu den betroffenen Ger\u00e4ten, auf die sie immer noch zugreifen k\u00f6nnen, wenn die Passw\u00f6rter nicht ge\u00e4ndert wurden. Selbst nach dem Sicherheitsupdate haben die Angreifer in diesen F\u00e4llen weiterhin Zugang.<\/p>\n<p>Laut <a href=\"https:\/\/blog.mikrotik.com\/security\/meris-botnet.html\" target=\"_blank\" rel=\"noopener nofollow\">MikroTik<\/a>, handelt es sich bei den Routern, die aktuell mit M\u0113ris infiziert sind, um Ger\u00e4te, die 2018 kompromittiert wurden. Das Unternehmen hat Informationen \u00fcber die Anzeichen einer Kompromittierung und Empfehlungen diesbez\u00fcglich ver\u00f6ffentlicht.<\/p>\n<h2>Wie kann ich herausfinden, ob mein Router Teil eines Botnets ist?<\/h2>\n<p>Wenn ein Router einem Botnets hinzugef\u00fcgt wird, \u00e4ndern die Cyberverbrecher einige Einstellungen in der Firmware des Ger\u00e4tes. Aus diesem Grund empfiehlt MikroTik zuerst einen Blick auf die Einstellungen des Routers zu werfen und auf Folgendes zu pr\u00fcfen:<\/p>\n<ul>\n<li>Eine Regel, die das Skript \u00fcber Fetch-Befehle ausf\u00fchrt. Entfernen Sie ggf. diese Regel (unter System \u2192 Scheduler).<\/li>\n<li>Ein SOCKS\u00a0Proxy-Server ist aktiviert. Die Einstellungen finden Sie unter IP \u2192 SOCKS. Deaktivieren Sie den SOCKS-Proxy, wenn Sie ihn nicht verwenden.<\/li>\n<li>Ein L2TP-Client namens lvpn, (oder andere L2TP-Clienten, die Ihnen nicht bekannt sind). L\u00f6schen Sie diese Clienten.<\/li>\n<li>Eine Firewall-Regel, die Remote-Zugriff \u00fcber den Port 5678 zul\u00e4sst. Entfernen Sie diese Regel.<\/li>\n<\/ul>\n<h2>So sch\u00fctzen Sie Ihren MikroTik-Router<\/h2>\n<p>Regelm\u00e4\u00dfige Updates geh\u00f6ren zu jeder erfolgreichen Schutzstrategie. Dieselben bew\u00e4hrten Methoden f\u00fcr allgemeine Netzwerksicherheit gelten auch f\u00fcr das MikroTik-Netzwerk.<\/p>\n<ul>\n<li>Vergewissern Sie sich, dass Ihr Router die aktuelle Version der Firmware verwendet und f\u00fchren Sie regelm\u00e4\u00dfig Updates durch.<\/li>\n<li>Deaktivieren Sie den Remote-Zugriff auf das Ger\u00e4t, es sei denn, Sie brauchen ihn wirklich.<\/li>\n<li>Konfigurieren Sie den Remote-Zugriff \u2013 auch in diesem Fall nur, wenn Sie wirklich darauf angewiesen sind \u2013 \u00fcber einen VPN-Kanal. Sie k\u00f6nnen daf\u00fcr beispielsweise ein IPSec-Protokoll verwenden.<\/li>\n<li>Verwenden Sie ein langes und starkes Admin-Passwort. Selbst wenn Sie bereits \u00fcber ein starkes Passwort verf\u00fcgen, ist es empfehlenswert es vorsichtshalber zu \u00e4ndern.<\/li>\n<\/ul>\n<p>Gehen Sie allgemein davon aus, dass ihr lokales Netzwerk nicht sicher ist, denn wenn ein Computer infiziert wird, kann die Malware \u00fcber das kompromittierte Ger\u00e4t den Router angreifen, versuchen das Passwort zu knacken und m\u00f6glicherweise Zugriff darauf erhalten. Aus diesem Grund empfehlen wir unsererseits eine <a href=\"https:\/\/www.kaspersky.de\/small-business-security\/small-office-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_banner____ksos___\" target=\"_blank\" rel=\"noopener\">zuverl\u00e4ssige Sicherheitsl\u00f6sung<\/a><b> <\/b>auf allen Computern zu verwenden, die mit dem Internet verbunden sind.<\/p>\n<p><strong><input type=\"hidden\" class=\"category_for_banner\" value=\"ksos\"><\/strong><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Aktualisieren Sie RouterOS des MikroTik-Routers und \u00fcberpr\u00fcfen Sie die Einstellungen, um sich vor dem Botnet M\u0113ris zu sch\u00fctzen und ggf. Malware von einem bereits infizierten Router zu entfernen.<\/p>\n","protected":false},"author":2581,"featured_media":27380,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2711,1848,3107,3108,10],"tags":[3878,380,1654,81],"class_list":{"0":"post-27379","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-business","9":"category-enterprise","10":"category-smb","11":"category-tips","12":"tag-mikrotik","13":"tag-router","14":"tag-tips","15":"tag-wlan"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/how-to-protect-mikrotik-from-meris-botnet\/27379\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-protect-mikrotik-from-meris-botnet\/23303\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-protect-mikrotik-from-meris-botnet\/18790\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/how-to-protect-mikrotik-from-meris-botnet\/25369\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-protect-mikrotik-from-meris-botnet\/23450\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-protect-mikrotik-from-meris-botnet\/22863\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-protect-mikrotik-from-meris-botnet\/26015\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/how-to-protect-mikrotik-from-meris-botnet\/25566\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-protect-mikrotik-from-meris-botnet\/31488\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/how-to-protect-mikrotik-from-meris-botnet\/10057\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-protect-mikrotik-from-meris-botnet\/41972\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-protect-mikrotik-from-meris-botnet\/17634\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-protect-mikrotik-from-meris-botnet\/18130\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/how-to-protect-mikrotik-from-meris-botnet\/15324\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/how-to-protect-mikrotik-from-meris-botnet\/31611\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/how-to-protect-mikrotik-from-meris-botnet\/27589\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-protect-mikrotik-from-meris-botnet\/24345\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-protect-mikrotik-from-meris-botnet\/29689\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-protect-mikrotik-from-meris-botnet\/29483\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/router\/","name":"Router"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27379","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2581"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=27379"}],"version-history":[{"count":4,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27379\/revisions"}],"predecessor-version":[{"id":27405,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27379\/revisions\/27405"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/27380"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=27379"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=27379"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=27379"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}