[caiu] Virus UBNT

Gabriel Fernandes Galvao gabriel em fasttelecom.net.br
Dom Maio 15 14:33:21 BRT 2016


Fixo e lan


Em 15/05/2016 14:26, Ronan Ramos escreveu:
> Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
> Ronan
>
> -----Mensagem Original-----
> De: "Felippe Alves Constantino" <fconstantino em gmail.com>
> Enviada em: ‎15/‎05/‎2016 14:12
> Para: "Lista das indisponibilidades da Internet brasileira" <caiu em eng.registro.br>
> Assunto: Re: [caiu] Virus UBNT
>
> Boa tarde!
>
> Esse script "wget -qO-
> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
> | sh" reseta o rádio, ou volta continua a configuração que está sem o vírus?
>
> Att.
>
> Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com> escreveu:
>
>> Boa tarde
>> alguém ja identificou por qual porta esta vindo esse vírus e ip ?
>>
>> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
>> diegocanton em ensite.com.br> escreveu:
>>
>>> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor, por
>>> xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está sendo
>>> filtrada no comando, removido todos os demais dados e apresentado apenas
>> os
>>> IPs possivelmente infectados, pois não são válidos e comuns as consultas
>>> pelo domínio "." (Domínio Ponto)
>>> Como disse quando postei o comando, ele deve ser executado em seu
>> servidor
>>> DNS.
>>> --
>>> Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
>>> -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
>>>
>>>> Esses ips são da sua rede? provavelmente estão infectados.
>>>>
>>>> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com >
>>> escreveu:
>>>>> Senhores,
>>>>> Executei o comando aqui nos servidores DNS, o que tem de retorno, é
>>> apenas
>>>>> IPs, um abaixo do outro.
>>>>> Isso significa que esta limpo??
>>>>>
>>>>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
>>> mascaraapj em gmail.com >
>>>>> escreveu:
>>>>>
>>>>>> meu caro, caso tenha acompanhado... não importa a complexidade da
>>> senha,
>>>>> o
>>>>>> virus consegue entrar assim mesmo, pois a falha que ele explora não
>>>>> precisa
>>>>>> de autenticação.
>>>>>>
>>>>>> Eu também achei que não tinha problema.
>>>>>> Até rodar o comando abaixo no servidor DNS, foi quando descobri
>> alguns
>>>>>> clientes infectados mas que ainda não tinha dado problema.
>>>>>>
>>>>>> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
>>> cut
>>>>>> -f5-8 -d "." | cut -f3 -d " "
>>>>>>
>>>>>> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
>>>>>> escreveu:
>>>>>>
>>>>>>> Eu tenho que admirar viu. A culpa desse caos são dos descuidados
>>> donos
>>>>> de
>>>>>>> provedores de meia boca que cometem a gafe de deixar seus
>>> equipamentos
>>>>> na
>>>>>>> porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.).
>>>>>>> Venho acompanhando isso em forum polones a varios meses que falam
>> de
>>>>>> coisas
>>>>>>> localizadas no leste Europeu, assim como um famoso rootkit que se
>>>>> camufla
>>>>>>> nos equipamentos MK (alguem se lembra dos cracks do autocad que
>>> mandava
>>>>>>> arquivos para a China?).
>>>>>>>
>>>>>>> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>>>>>>>
>>>>>>> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
>>> 5.64.
>>>>>> Não
>>>>>>> tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
>> não
>>>>>>> permitir trocar o usuario master (tem que ser ubnt). Consegui
>>> somente
>>>>> via
>>>>>>> Cli.
>>>>>>>
>>>>>>> Quanto ao EdgeRouter vai pelo mesmo rumo.
>>>>>>>
>>>>>>>
>>>>>>> Demais coisas beijos e abraços e boa sorte, ja que aprender a
>> lingua
>>>>>>> inglesa é uma obrigatoriedade e ficar alerta mais ainda.
>> ahahahahaha
>>>>>>> -
>>>>>>> _______________________________________________
>>>>>>> caiu mailing list
>>>>>>>   caiu em eng.registro.br
>>>>>>>   https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>>   https://eng.registro.br/mailman/options/caiu
>>>>>>>
>>>>>>
>>>>>>
>>>>>> --
>>>>>> Andrio Prestes Jasper
>>>>>> Celular: (65) 9320-3170 / 8444 0040
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>>   caiu em eng.registro.br
>>>>>>   https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>>   https://eng.registro.br/mailman/options/caiu
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>>
>>>>> Att.
>>>>> Felipe L Gobetti
>>>>>   fel3456 em gmail.com
>>>>> (44) 9829 6093
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>>   caiu em eng.registro.br
>>>>>   https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>>   https://eng.registro.br/mailman/options/caiu
>>>>>
>>>>
>>>>
>>>> --
>>>> Andrio Prestes Jasper
>>>> Celular: (65) 9320-3170 / 8444 0040
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>> _______________________________________________
>>> caiu mailing list
>>> caiu em eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>> --
>> José Nilton
>> Telefone : ( 88 ) 9612 - 0564
>> Skype : jn em linkcariri.com
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>
>



Mais detalhes sobre a lista de discussão caiu