[caiu] virus em equipamentos UBNT

Diego Canton de Brito diegocanton em ensite.com.br
Dom Maio 15 10:12:06 BRT 2016 

Tente monitorar o IP do downloads.openwrt.org 78.24.191.177 

O script tenta baixar um ipk (zip) de lá com um CURL compatível com os
rádios. 

Em 2016-05-15 10:01, Andrio Prestes Jasper escreveu:

> vixi, tenho equipamentos remotos, bem longe.
> tem algo que de para fazer pelo mikrotik para identificar esses
> equipamentos?
> 
> Em 15 de maio de 2016 08:57, Diego Canton de Brito <
> diegocanton em ensite.com.br> escreveu:
> 
> Sem acessar, apenas se você monitorar seu DNS
> 
> Este comando deve mostrar para você os IPs que estão fazendo tais
> consultas.
> 
> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " | cut
> -f5-8 -d "." | cut -f3 -d " "
> 
> Para saber se a rede está limpa, basta acompanhar o volume de nxdomain
> nas repostas do DNS.
> 
> Exemplo de consulta de equipamento infectado.
> 
> x.x.x.x.53 > y.y.y.y.37614: [bad udp cksum 0x741a -> 0xdf66!] 12
> NXDomain q: A? 344.060.277.200. 0/1/0 ns: . [23h59m4s] SOA
> a.root-servers.net. nstld.verisign-grs.com. 2016051500 1800 900 604800
> 86400 (108)
> 
> Em 2016-05-15 09:50, Andrio Prestes Jasper escreveu:
> 
> Tem alguma forma de identificar que está com esses virus? porta? tenta
> contato com algum site?
> 
> Em 15 de maio de 2016 06:39, <nawebi em nawebi.com.br> escreveu:
> 
> pelas avaliações e comparações que levantamos em nossos clientes que
> resetaram, constatamos que o virus se instalou de alguma forma através
 do 

>> ssh, pois todos os clientes que possuiam direcionamento da porta 22
 caindo 

>> em uma RB nao resetaram, e nessas RBs registrou logs nos mesmos horarios
>> dos reset dos ubnt. Acredito que nao seja necessario mudar a porta 80. A
>> senha tambem nao é necessario trocar pois possuimos senhas diferentes
 nos 

>> usuarios e mesmo assim tivemos casos de resets. Afetou apenas clientes
 com 

>> Ips publicos, ou seja, o virus veio de fora. Aqui apenas atualizando
 para 

>> 5.6.4 e reconfigurando o cliente e ja resolveu, nao executamos os
 scripts. 

>> Éderson Johann - NoroesteNET
>> 
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>> 
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> 
>> https://eng.registro.br/mailman/options/caiu

_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu

Mais detalhes sobre a lista de discussão caiu