Mikrotik сообщение при входе
Обновлено: 04.07.2024
Содержание
Описание скрипта
Анализирует события после времени последнего запуска (переменная ParseLogLoginEndArrayID).
Для отправки уведомлений используются функции:
Скрипт вызывает функции с названиями: EMailSendMessageFunction, TGBotSendMessageFunction. Если у вас функции имеют другое название, измените это в скрипте.
✏️ Если вы фиксируете частые попытки входа с использованием вашего текущего логина, возможно логин стал известен злоумышленникам, лучшим вариантом будет изменить логин.
Создать скрипт
Для запуска скрипта необходимы разрешения: read, write, test, policy.
Код скрипта
Добавить скрипт в планировщик
Для запуска скрипта необходимы разрешения: read, write, test, policy.
Или выполните в терминале:
🔗 Вы можете настроить правила Межсетевого экрана, для блокировки брутфос-атаки — Защита MikroTik (базовая настройка безопасности устройства).
Скрипт проверен: RouterBOARD 952Ui-5ac2nD, RouterOS 6.48 (stable).
Комментарии 22
А можно этот скрипт переделать, чтобы он не только неудачные попытки входа на устройство мониторил, но и другие топики виду:
critical, error, warning и так далее?
sifa, проблем со временем решил небольшим костылем, и, также, решил проблему перебора всех записей лога
sifa, хочу написать про кириллицу, у меня есть скрипт, работающий на этой же логике, решил я проверить вариант с кириллицей, да, действительно скрипт не отрабатывает и также он не отрабатывает последующие попытки авторизации на латинице, но как только скрипт делает следующий запуск (у меня он запускается раз в минуту), скрипт благополучно выполняется. Плюс я настроил блокировку от подбора пароля, по этому есть только несколько попыток авторизации. Так что считаю данную схему вполне защищенной. Я увидел ваш пост на форуме forummikrotik ru, так что пишите мне туда, если будут вопросы.
Virtue, вы решили проблему по ночам (логи меняют формат времени в 00:00 (GMT+0) ?
Привязка к времени это минус, тут действительно реализация более правильная.
Но если логи сохраняются, например, на флешку и выставлено 50к строк, он каждый раз проверяет эти 50к строк (а может быть выставлено и гораздо больше) 😐
Было бы еще лучше, если в глобальную переменную записывал не только последнюю найденную запись, но и в другую последнюю проверенную строку, чтобы с нее потом начинать проверять, если такое возможно конечно 😺
Sifa уже дописал вариант правки регулярными выражениями, это не привело к трудоёмкой доработке скрипта.
У меня нет цели увеличивать сложность и размеры скриптов, пытаясь предусмотреть максимально возможное количество ситуаций. Я пишу простые скрипты, по которым можно понять их работу и доработать под свои случаи.
Блокировка неудачных попыток пароля намного проще и оперативней, делается правилами Firewall, нежели скриптами. Это указано — здесь. Можно опять же правилами Firewall доработать до полноценного fail2ban.
Какие записи или какие параметры на кириллице встречаются у вас в логе?
Тот же DHCP, имена устройств легко могут быть на кириллице, в случае с windows даже по дефолту подставляется User-ПК.
:local IDsEvents [/log find where buffer="memory" topics ~ "critical" message ~ "^login failure for user [a-zA-Z0-9]+ from"];
Теперь скрипт не стопорится, посмотрю, что с дебагом…
Стоит понимать, что если логин содержит что-то кроме (a-z) (A-Z) (0-9), то стоит добавить в message~
Жду не дождусь статьи для отправки фалов бэкапа (и логов), сохраненных в памяти микротика или всунутой флешке в телеграм =)
Быстро найти не смог, но помню вычитывал, что не получится локально сохраненные файлы передавать в телегу…
Сейчас в статьях по MikroTik будет перерыв, нужно заняться более приоритетными делами.
Для отправки локальных файлов из MIkroTik нужно использовать fetch, а для отправки в Telegram в хеадере параметры multipart/form-data, но об этом нужно почитать в документации.
Не получается создать оповещение администратора о входе в mikrotik.
Цель: как только кто-то подключился к моему роутеру, то я должен сразу получить оповещение на почту, ватсап, телеграм (куда угодно) и успеть всё вырубить (например вырубить интернет и сменить все пароли) пока злодеи не успели что-то сломать.
но в логах микротика вижу ошибки
Erorr sending e-mail : invalid FROM address
Erorr sending e-mail : invalid FROM address
Где надо указать поле FROM?
Отображение кнопки, при входе с учетной записи администратора
Помогите пожалуйста! Как реализовать отображение кнопки именно тогда, когда зашел только под.
Непонятное поведение MikroTik hEX и MikroTik hAP
Имеется два устройства: MikroTik hEX RB750Gr3 MikroTik hAP ac² hEX является первым.
Mikrotik BlackList Parser (Mikrotik StopAD)
Всем привет! Будучи счастливым обладателем роутера Mikrotik задался рядом частных задач.
Если будешь спать, то тоже будет блинькать телеграмм .
поставь нормальный пароль , закрой доступ к winbox , telnet, ssh из интернет
(имеется ввиду можно и открыть только нужным ипи адресам) или управлять через vpn, или сделать portknok, еще Radius server
тем более , что были такие дыры, что не было никаких оповещений в логах, заходили через дыру.
Решение
Объединить Mikrotik - Netis - Mikrotik
Всем доброго дня. Есть Mikrotik hAP Lite к нему подключен сетевой кабель, соответственно из.
Запуск программы без прав администратора скриптом, запущенным с правами администратора
Добрый день. Запускаю скрипт с правами администратора. Тот в свою очередь запускает программу, как.
Дружба с семеркой не задалась. Просит у администратора иметь права администратора
Ради Бога, расстолкуйте, что подразумевается под термином "режим Бога" в семерке. Что.
Как получить права администратора для запуска приложений напрямую, а не от имени администратора?
на ярлыках и везде на всех эксэшниках стоит значек щита тобиш для запуска нужны права админа.но я.
Mikrotik TO Mikrotik (VPN)
Подскажите пожалуйста! Организовал VPN тунель м/у 2-мя Микротиками. Проблема в том что за.
Подключаемся в роутер через WinBox.
Настройка электронной почты.
1.В боковом меню выбираем пункт Tools.
2.В выпадающем меню выбираем Email.
В открывшемся окне Email Settings вводим параметры:
6.From: эл.почта отправителя
8.Password: 12345Password (Пароль электронной почты)
9.Нажимаем кнопку ОК.
Через командную строку терминала:
/ tool e - mail set address = smtp . gmail . com port = 587 start - tls = yes from = mail @ yandex . ru user = mail @ yandex . ru password = 12345Password
Для тестовой отправки электронного письма нажимаем кнопку Send Email в окне Email Settings.
В открывшемся окне Send Email вводим параметры:
4.Password: 12345Password (Пароль электронной почты).
6.To: эл.почта получателя письма.
7.From: эл.почта отправителя.
8.Subject: тема письма.
10.Нажимаем кнопку Send Email.
1.Проверяем правильность ввода данных (логин, пароль, сервер, порт, TLS)
2.Проверяем настройку в сервисе почты.
В почте Яндекс – Почтовые программы.
В аккаунте Гугл — настройка безопасности для надежного приложения. Надежные приложения. Если Выкл – включаем.
*при тестировании письмо одинаково успешно пришло в Гугл и Яндекс почту
Оповещение на e-mail о попытке подключения к роутеру.
В логе событие о неудачной попытке подключения обозначено system, error, critical.
Настраиваем отправку эл.почты по этому событию.
1.В боковом меню выбираем пункт System.
2.В выпадающем меню выбираем Logging.
3.В открывшемся окне Logging переходим на вкладку Action.
4.Редактируем существующее правило или создаем новое нажав плюс.
В открывшемся окошке Log Action вводим параметры:
5.Name: email (любое понятное имя латинскими буквами).
6.Type: email (выбираем из выпадающего списка).
8.Start TLS — активируем галочкой.
9.Нажимаем кнопку ОК.
10.Переходим на вкладку Rules в окне Logging.
11.Нажимаем плюс для добовления нового правила.
В окне нового правила указываем:
12.Topics: error и critical (темы событий).
14.Нажимаем кнопку ОК.
В Prefix можно добавить комментарий.
Через командную строку терминала:
/ system logging action add email - start - tls = yes email - to = mail @ yandex . ru name = email target = email
Чтоб почту не засыпало бесконечным логом событий, сперва все то же самое лучше сделать с указанием вместо Action: email >> Action: echo
В этом случае оповещение будет приходить в терминал.
Ниже отображается неудачная попытка войти в роутер с неверной учетной записью. Запись об этом событии дублируется в Terminal через echo.
Если все устраивает, указываем email вместо echo.
В логе видно, что после неудачной попытки подключения к роутеру было отправлено письмо на email. Вас пытаются взломать. Примите меры.
*у почты gmail возникает проблема авторизации при доставке, письмо не пришло, с почтой Яндекс всё ОК
Netwatch отслеживает состояние хостов в сети. Происходит это путем отправки ICMP пакетов к указанным IP-адресам. Для каждой записи в таблице Netwatch можно указать IP-адрес, интервал пинг и консольные скрипты. Основным преимуществом NetWatch является его способность выдавать произвольные консольные команды при изменении состояния хоста.
Настройка
Первым делом настроим SMTP сервер на примере Gmail.
Заходим в Tools - Email.
Вводим адрес smtp сервера Gmail:
Port:
Start TLS:
From:
User:
ваша почта (до знака @)
Password:
Должно получится так:
Можно сразу проверить отправку нажав на Send Email, далее заполняем верхние поля как здесь и не забываем ставить галочку TLS. После указываем адрес получателя, тему, содержание письма и нажимаем Send Email.
Далее заходим в Tools - Netwatch
На кладке Host заполняем:
Host - ip адрес которые будет пинговать
interval - через какае время утилита будет отсылать пакеты (по умолчанию 1 минута)
timeout - в течении которого времени должен прийти ответ (по умолчанию 1000 мс - 1 сек)
На вкладке Up прописываем скипт, который будет выполняться при появлении линка,
Текст скрипта следующий:
tool e-mail send to=mail@gmail.com subject="Тема письма" body="Текст письма"
На вкладке Down прописываем скрипт который будет выполняться при обрыве линка,
у нас так же пойдет оповещение на заданный Email.
tool e-mail send to=mail@gmail.com subject="Тема письма" body="Текст письма"
Теперь при обрыве\появлении линка вы первым можете узнать об этом.
Читайте также: