[caiu] virus em equipamentos UBNT

Diego Canton de Brito diegocanton em ensite.com.br
Sáb Maio 14 22:00:03 BRT 2016


Vou resumir as discussões na GTER e fórum da UBNT.
Trata-se de um vírus para equipamentos ubiquiti, o dito ip é da OpenWRT, de onde eles baixam a LIB CURL pra rodar o exploite e infectar ainda mais equipamentos.
O vírus executa no rádio e começa a tentar reproduzir seu conteúdo em todos os IPs, indiferente de classe, país e etc.
As formas de parar são bloquear a princípio o acesso a portas 80 e 443 dos equipamentos ou modificar a porta de acesso HTTP deles, bloquear o acesso ao repositório da OpenWRT, para impedir o download do Curl. E com controvérsias limpar e atualizar os equipamentos para a versão 5.6.4
Você pode obter um exemplo de scripts para limpar sua rede em http://GITHUB.com/diegocanton/remove_ubnt_mf esse exemplo testa se está infectado, remove e muda a porta HTTP para 81
Por favor, continuem esse assunto no fórum ou gter.
O exploite então ataca seus ips público e privados de gerenciamento, pois os equipamentos internos os atacam.
Vc deve notar um aumento de requisições no DNS como nxdomain.
--
Enviado do aplicativo myMail para Android sábado, 14 maio 2016, 02:10PM -03:00 de  evertonsuporte em cabonnet.com.br :

>BOA TARDE, POR AQUI TAMBÉM. MUITOS PROBLEMAS SEMELHANTES AOS 
>COMENTÁRIOS.
>
>
>ATT
>
>EVERTON
>
>Em 2016-05-14 14:06, André Andrade escreveu:
>> Recebi uma informação para bloquear o ip:  78.24.191.177/32 é pelas
>> informações é o ip onde está hospedado o virus.
>> 
>> Alguem sabe me informar se a informação procede??
>> 
>> Em 14 de maio de 2016 12:21, Nawebi < nawebi em nawebi.com.br > escreveu:
>> 
>>> bom dia, alguem mais com problemas de reset em equipamentos ubnt?
>>> acreditamos que tenha um possivel virus afetando todas antenas que 
>>> possui
>>> ip fixo.
>>> ja confirmei com outros provedores, ate o momento confirmamos o 
>>> problema
>>> onde possui o bloco 177.66.0.0/16.
>>> virus se propagando pela rede afetando todas antenas com ip publico.
>>> solução encontrada por nos é instalar a versao 5.6.4
>>> 
>>> alguem mais com esse problema?
>>> 
>>> 
>>> _______________________________________________
>>> caiu mailing list
>>>  caiu em eng.registro.br
>>>  https://eng.registro.br/mailman/listinfo/caiu
>>> 
>>> 
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>> 
>>>  https://eng.registro.br/mailman/options/caiu
>>> 
>_______________________________________________
>caiu mailing list
>caiu em eng.registro.br
>https://eng.registro.br/mailman/listinfo/caiu
>
>
>--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
>https://eng.registro.br/mailman/options/caiu


Mais detalhes sobre a lista de discussão caiu