[caiu] Virus UBNT
José Nilton
jn em linkcariri.com
Dom Maio 15 14:37:03 BRT 2016
certo
Em dom, 15 de mai de 2016 às 14:36, Gabriel Fernandes Galvao <
gabriel em fasttelecom.net.br> escreveu:
> Fixo e lan
>
>
> Em 15/05/2016 14:26, Ronan Ramos escreveu:
> > Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
> > Ronan
> >
> > -----Mensagem Original-----
> > De: "Felippe Alves Constantino" <fconstantino em gmail.com>
> > Enviada em: 15/05/2016 14:12
> > Para: "Lista das indisponibilidades da Internet brasileira" <
> caiu em eng.registro.br>
> > Assunto: Re: [caiu] Virus UBNT
> >
> > Boa tarde!
> >
> > Esse script "wget -qO-
> >
> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
> > | sh" reseta o rádio, ou volta continua a configuração que está sem o
> vírus?
> >
> > Att.
> >
> > Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com> escreveu:
> >
> >> Boa tarde
> >> alguém ja identificou por qual porta esta vindo esse vírus e ip ?
> >>
> >> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
> >> diegocanton em ensite.com.br> escreveu:
> >>
> >>> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor,
> por
> >>> xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está
> sendo
> >>> filtrada no comando, removido todos os demais dados e apresentado
> apenas
> >> os
> >>> IPs possivelmente infectados, pois não são válidos e comuns as
> consultas
> >>> pelo domínio "." (Domínio Ponto)
> >>> Como disse quando postei o comando, ele deve ser executado em seu
> >> servidor
> >>> DNS.
> >>> --
> >>> Enviado do aplicativo myMail para Android domingo, 15 maio 2016,
> 01:52PM
> >>> -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
> >>>
> >>>> Esses ips são da sua rede? provavelmente estão infectados.
> >>>>
> >>>> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com >
> >>> escreveu:
> >>>>> Senhores,
> >>>>> Executei o comando aqui nos servidores DNS, o que tem de retorno, é
> >>> apenas
> >>>>> IPs, um abaixo do outro.
> >>>>> Isso significa que esta limpo??
> >>>>>
> >>>>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
> >>> mascaraapj em gmail.com >
> >>>>> escreveu:
> >>>>>
> >>>>>> meu caro, caso tenha acompanhado... não importa a complexidade da
> >>> senha,
> >>>>> o
> >>>>>> virus consegue entrar assim mesmo, pois a falha que ele explora não
> >>>>> precisa
> >>>>>> de autenticação.
> >>>>>>
> >>>>>> Eu também achei que não tinha problema.
> >>>>>> Até rodar o comando abaixo no servidor DNS, foi quando descobri
> >> alguns
> >>>>>> clientes infectados mas que ainda não tinha dado problema.
> >>>>>>
> >>>>>> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
> >>> cut
> >>>>>> -f5-8 -d "." | cut -f3 -d " "
> >>>>>>
> >>>>>> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
> >>>>>> escreveu:
> >>>>>>
> >>>>>>> Eu tenho que admirar viu. A culpa desse caos são dos descuidados
> >>> donos
> >>>>> de
> >>>>>>> provedores de meia boca que cometem a gafe de deixar seus
> >>> equipamentos
> >>>>> na
> >>>>>>> porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.).
> >>>>>>> Venho acompanhando isso em forum polones a varios meses que falam
> >> de
> >>>>>> coisas
> >>>>>>> localizadas no leste Europeu, assim como um famoso rootkit que se
> >>>>> camufla
> >>>>>>> nos equipamentos MK (alguem se lembra dos cracks do autocad que
> >>> mandava
> >>>>>>> arquivos para a China?).
> >>>>>>>
> >>>>>>> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
> >>>>>>>
> >>>>>>> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
> >>> 5.64.
> >>>>>> Não
> >>>>>>> tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
> >> não
> >>>>>>> permitir trocar o usuario master (tem que ser ubnt). Consegui
> >>> somente
> >>>>> via
> >>>>>>> Cli.
> >>>>>>>
> >>>>>>> Quanto ao EdgeRouter vai pelo mesmo rumo.
> >>>>>>>
> >>>>>>>
> >>>>>>> Demais coisas beijos e abraços e boa sorte, ja que aprender a
> >> lingua
> >>>>>>> inglesa é uma obrigatoriedade e ficar alerta mais ainda.
> >> ahahahahaha
> >>>>>>> -
> >>>>>>> _______________________________________________
> >>>>>>> caiu mailing list
> >>>>>>> caiu em eng.registro.br
> >>>>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>>>
> >>>>>>>
> >>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>>>
> >>>>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>>>
> >>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> Andrio Prestes Jasper
> >>>>>> Celular: (65) 9320-3170 / 8444 0040
> >>>>>> _______________________________________________
> >>>>>> caiu mailing list
> >>>>>> caiu em eng.registro.br
> >>>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>>
> >>>>>>
> >>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>>
> >>>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>>
> >>>>>
> >>>>>
> >>>>> --
> >>>>>
> >>>>> Att.
> >>>>> Felipe L Gobetti
> >>>>> fel3456 em gmail.com
> >>>>> (44) 9829 6093
> >>>>> _______________________________________________
> >>>>> caiu mailing list
> >>>>> caiu em eng.registro.br
> >>>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>>
> >>>>>
> >>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>>
> >>>>> https://eng.registro.br/mailman/options/caiu
> >>>>>
> >>>>
> >>>>
> >>>> --
> >>>> Andrio Prestes Jasper
> >>>> Celular: (65) 9320-3170 / 8444 0040
> >>>> _______________________________________________
> >>>> caiu mailing list
> >>>> caiu em eng.registro.br
> >>>> https://eng.registro.br/mailman/listinfo/caiu
> >>>>
> >>>>
> >>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>>
> >>>> https://eng.registro.br/mailman/options/caiu
> >>> _______________________________________________
> >>> caiu mailing list
> >>> caiu em eng.registro.br
> >>> https://eng.registro.br/mailman/listinfo/caiu
> >>>
> >>>
> >>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>>
> >>> https://eng.registro.br/mailman/options/caiu
> >>>
> >> --
> >> José Nilton
> >> Telefone : ( 88 ) 9612 - 0564
> >> Skype : jn em linkcariri.com
> >> _______________________________________________
> >> caiu mailing list
> >> caiu em eng.registro.br
> >> https://eng.registro.br/mailman/listinfo/caiu
> >>
> >>
> >> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >>
> >> https://eng.registro.br/mailman/options/caiu
> >>
> >
> >
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
José Nilton
Telefone : ( 88 ) 9612 - 0564
Skype : jn em linkcariri.com
Mais detalhes sobre a lista de discussão caiu