[caiu] Virus UBNT
Ronan Ramos
admin em meusiterapido.net.br
Dom Maio 15 14:26:33 BRT 2016
Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
Ronan
-----Mensagem Original-----
De: "Felippe Alves Constantino" <fconstantino em gmail.com>
Enviada em: 15/05/2016 14:12
Para: "Lista das indisponibilidades da Internet brasileira" <caiu em eng.registro.br>
Assunto: Re: [caiu] Virus UBNT
Boa tarde!
Esse script "wget -qO-
https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
| sh" reseta o rádio, ou volta continua a configuração que está sem o vírus?
Att.
Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com> escreveu:
> Boa tarde
> alguém ja identificou por qual porta esta vindo esse vírus e ip ?
>
> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
> diegocanton em ensite.com.br> escreveu:
>
> >
> > Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor, por
> > xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está sendo
> > filtrada no comando, removido todos os demais dados e apresentado apenas
> os
> > IPs possivelmente infectados, pois não são válidos e comuns as consultas
> > pelo domínio "." (Domínio Ponto)
> > Como disse quando postei o comando, ele deve ser executado em seu
> servidor
> > DNS.
> > --
> > Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
> > -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
> >
> > >Esses ips são da sua rede? provavelmente estão infectados.
> > >
> > >Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com >
> > escreveu:
> > >
> > >> Senhores,
> > >> Executei o comando aqui nos servidores DNS, o que tem de retorno, é
> > apenas
> > >> IPs, um abaixo do outro.
> > >> Isso significa que esta limpo??
> > >>
> > >> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
> > mascaraapj em gmail.com >
> > >> escreveu:
> > >>
> > >> > meu caro, caso tenha acompanhado... não importa a complexidade da
> > senha,
> > >> o
> > >> > virus consegue entrar assim mesmo, pois a falha que ele explora não
> > >> precisa
> > >> > de autenticação.
> > >> >
> > >> > Eu também achei que não tinha problema.
> > >> > Até rodar o comando abaixo no servidor DNS, foi quando descobri
> alguns
> > >> > clientes infectados mas que ainda não tinha dado problema.
> > >> >
> > >> > tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
> > cut
> > >> > -f5-8 -d "." | cut -f3 -d " "
> > >> >
> > >> > Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
> >
> > >> > escreveu:
> > >> >
> > >> > > Eu tenho que admirar viu. A culpa desse caos são dos descuidados
> > donos
> > >> de
> > >> > > provedores de meia boca que cometem a gafe de deixar seus
> > equipamentos
> > >> na
> > >> > > porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.).
> > >> > > Venho acompanhando isso em forum polones a varios meses que falam
> de
> > >> > coisas
> > >> > > localizadas no leste Europeu, assim como um famoso rootkit que se
> > >> camufla
> > >> > > nos equipamentos MK (alguem se lembra dos cracks do autocad que
> > mandava
> > >> > > arquivos para a China?).
> > >> > >
> > >> > > A UBNT vem falando e adicionando regras de segurança ja faz tempo.
> > >> > >
> > >> > > Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
> > 5.64.
> > >> > Não
> > >> > > tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
> não
> > >> > > permitir trocar o usuario master (tem que ser ubnt). Consegui
> > somente
> > >> via
> > >> > > Cli.
> > >> > >
> > >> > > Quanto ao EdgeRouter vai pelo mesmo rumo.
> > >> > >
> > >> > >
> > >> > > Demais coisas beijos e abraços e boa sorte, ja que aprender a
> lingua
> > >> > > inglesa é uma obrigatoriedade e ficar alerta mais ainda.
> ahahahahaha
> > >> > >
> > >> > > -
> > >> > > _______________________________________________
> > >> > > caiu mailing list
> > >> > > caiu em eng.registro.br
> > >> > > https://eng.registro.br/mailman/listinfo/caiu
> > >> > >
> > >> > >
> > >> > > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> > >
> > >> > > https://eng.registro.br/mailman/options/caiu
> > >> > >
> > >> >
> > >> >
> > >> >
> > >> > --
> > >> > Andrio Prestes Jasper
> > >> > Celular: (65) 9320-3170 / 8444 0040
> > >> > _______________________________________________
> > >> > caiu mailing list
> > >> > caiu em eng.registro.br
> > >> > https://eng.registro.br/mailman/listinfo/caiu
> > >> >
> > >> >
> > >> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >> >
> > >> > https://eng.registro.br/mailman/options/caiu
> > >> >
> > >>
> > >>
> > >>
> > >> --
> > >>
> > >> Att.
> > >> Felipe L Gobetti
> > >> fel3456 em gmail.com
> > >> (44) 9829 6093
> > >> _______________________________________________
> > >> caiu mailing list
> > >> caiu em eng.registro.br
> > >> https://eng.registro.br/mailman/listinfo/caiu
> > >>
> > >>
> > >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >>
> > >> https://eng.registro.br/mailman/options/caiu
> > >>
> > >
> > >
> > >
> > >--
> > >Andrio Prestes Jasper
> > >Celular: (65) 9320-3170 / 8444 0040
> > >_______________________________________________
> > >caiu mailing list
> > >caiu em eng.registro.br
> > >https://eng.registro.br/mailman/listinfo/caiu
> > >
> > >
> > >--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> > >
> > >https://eng.registro.br/mailman/options/caiu
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> --
> José Nilton
> Telefone : ( 88 ) 9612 - 0564
> Skype : jn em linkcariri.com
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
Felippe Alves Constantino - Diretor Técnico
Farol Telecom - Pelotas / RS
Celular: (53) 8402-0786
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu
--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
https://eng.registro.br/mailman/options/caiu
Mais detalhes sobre a lista de discussão caiu