[caiu] virus em equipamentos UBNT

Diego Canton de Brito diegocanton em ensite.com.br
Dom Maio 15 09:57:43 BRT 2016


Sem acessar, apenas se você monitorar seu DNS 

Este comando deve mostrar para você os IPs que estão fazendo tais
consultas. 

tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " | cut
-f5-8 -d "." | cut -f3 -d " " 

Para saber se a rede está limpa, basta acompanhar o volume de nxdomain
nas repostas do DNS. 

Exemplo de consulta de equipamento infectado. 

x.x.x.x.53 > y.y.y.y.37614: [bad udp cksum 0x741a -> 0xdf66!] 12
NXDomain q: A? 344.060.277.200. 0/1/0 ns: . [23h59m4s] SOA
a.root-servers.net. nstld.verisign-grs.com. 2016051500 1800 900 604800
86400 (108) 

Em 2016-05-15 09:50, Andrio Prestes Jasper escreveu:

> Tem alguma forma de identificar que está com esses virus? porta? tenta
> contato com algum site?
> 
> Em 15 de maio de 2016 06:39, <nawebi em nawebi.com.br> escreveu:
> 
>> pelas avaliações e comparações que levantamos em nossos clientes que
>> resetaram, constatamos que o virus se instalou de alguma forma através do
>> ssh, pois todos os clientes que possuiam direcionamento da porta 22 caindo
>> em uma RB nao resetaram, e nessas RBs registrou logs nos mesmos horarios
>> dos reset dos ubnt. Acredito que nao seja necessario mudar a porta 80. A
>> senha tambem nao é necessario trocar pois possuimos senhas diferentes nos
>> usuarios e mesmo assim tivemos casos de resets. Afetou apenas clientes com
>> Ips publicos, ou seja, o virus veio de fora. Aqui apenas atualizando para
>> 5.6.4 e reconfigurando o cliente e ja resolveu, nao executamos os scripts.
>> 
>> Éderson Johann - NoroesteNET
>> 
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>> 
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> 
>> https://eng.registro.br/mailman/options/caiu
 


Mais detalhes sobre a lista de discussão caiu