[caiu] Virus UBNT

Felippe Alves Constantino fconstantino em gmail.com
Dom Maio 15 14:37:26 BRT 2016


Diego,

Esse script "wget -qO-
https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
| sh" reseta o rádio, ou volta continua a configuração que está sem o vírus?

Att.

Em 15 de maio de 2016 14:33, Gabriel Fernandes Galvao <
gabriel em fasttelecom.net.br> escreveu:

> Fixo e lan
>
>
>
> Em 15/05/2016 14:26, Ronan Ramos escreveu:
>
>> Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
>> Ronan
>>
>> -----Mensagem Original-----
>> De: "Felippe Alves Constantino" <fconstantino em gmail.com>
>> Enviada em: ‎15/‎05/‎2016 14:12
>> Para: "Lista das indisponibilidades da Internet brasileira" <
>> caiu em eng.registro.br>
>> Assunto: Re: [caiu] Virus UBNT
>>
>> Boa tarde!
>>
>> Esse script "wget -qO-
>>
>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>> vírus?
>>
>> Att.
>>
>> Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com> escreveu:
>>
>> Boa tarde
>>> alguém ja identificou por qual porta esta vindo esse vírus e ip ?
>>>
>>> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
>>> diegocanton em ensite.com.br> escreveu:
>>>
>>> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor, por
>>>> xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está
>>>> sendo
>>>> filtrada no comando, removido todos os demais dados e apresentado apenas
>>>>
>>> os
>>>
>>>> IPs possivelmente infectados, pois não são válidos e comuns as consultas
>>>> pelo domínio "." (Domínio Ponto)
>>>> Como disse quando postei o comando, ele deve ser executado em seu
>>>>
>>> servidor
>>>
>>>> DNS.
>>>> --
>>>> Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
>>>> -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
>>>>
>>>> Esses ips são da sua rede? provavelmente estão infectados.
>>>>>
>>>>> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com >
>>>>>
>>>> escreveu:
>>>>
>>>>> Senhores,
>>>>>> Executei o comando aqui nos servidores DNS, o que tem de retorno, é
>>>>>>
>>>>> apenas
>>>>
>>>>> IPs, um abaixo do outro.
>>>>>> Isso significa que esta limpo??
>>>>>>
>>>>>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
>>>>>>
>>>>> mascaraapj em gmail.com >
>>>>
>>>>> escreveu:
>>>>>>
>>>>>> meu caro, caso tenha acompanhado... não importa a complexidade da
>>>>>>>
>>>>>> senha,
>>>>
>>>>> o
>>>>>>
>>>>>>> virus consegue entrar assim mesmo, pois a falha que ele explora não
>>>>>>>
>>>>>> precisa
>>>>>>
>>>>>>> de autenticação.
>>>>>>>
>>>>>>> Eu também achei que não tinha problema.
>>>>>>> Até rodar o comando abaixo no servidor DNS, foi quando descobri
>>>>>>>
>>>>>> alguns
>>>
>>>> clientes infectados mas que ainda não tinha dado problema.
>>>>>>>
>>>>>>> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
>>>>>>>
>>>>>> cut
>>>>
>>>>> -f5-8 -d "." | cut -f3 -d " "
>>>>>>>
>>>>>>> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
>>>>>>> escreveu:
>>>>>>>
>>>>>>> Eu tenho que admirar viu. A culpa desse caos são dos descuidados
>>>>>>>>
>>>>>>> donos
>>>>
>>>>> de
>>>>>>
>>>>>>> provedores de meia boca que cometem a gafe de deixar seus
>>>>>>>>
>>>>>>> equipamentos
>>>>
>>>>> na
>>>>>>
>>>>>>> porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.).
>>>>>>>> Venho acompanhando isso em forum polones a varios meses que falam
>>>>>>>>
>>>>>>> de
>>>
>>>> coisas
>>>>>>>
>>>>>>>> localizadas no leste Europeu, assim como um famoso rootkit que se
>>>>>>>>
>>>>>>> camufla
>>>>>>
>>>>>>> nos equipamentos MK (alguem se lembra dos cracks do autocad que
>>>>>>>>
>>>>>>> mandava
>>>>
>>>>> arquivos para a China?).
>>>>>>>>
>>>>>>>> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>>>>>>>>
>>>>>>>> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
>>>>>>>>
>>>>>>> 5.64.
>>>>
>>>>> Não
>>>>>>>
>>>>>>>> tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
>>>>>>>>
>>>>>>> não
>>>
>>>> permitir trocar o usuario master (tem que ser ubnt). Consegui
>>>>>>>>
>>>>>>> somente
>>>>
>>>>> via
>>>>>>
>>>>>>> Cli.
>>>>>>>>
>>>>>>>> Quanto ao EdgeRouter vai pelo mesmo rumo.
>>>>>>>>
>>>>>>>>
>>>>>>>> Demais coisas beijos e abraços e boa sorte, ja que aprender a
>>>>>>>>
>>>>>>> lingua
>>>
>>>> inglesa é uma obrigatoriedade e ficar alerta mais ainda.
>>>>>>>>
>>>>>>> ahahahahaha
>>>
>>>> -
>>>>>>>> _______________________________________________
>>>>>>>> caiu mailing list
>>>>>>>>   caiu em eng.registro.br
>>>>>>>>   https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>>
>>>>>>>>
>>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>>
>>>>>>>>   https://eng.registro.br/mailman/options/caiu
>>>>>>>>
>>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>>> Andrio Prestes Jasper
>>>>>>> Celular: (65) 9320-3170 / 8444 0040
>>>>>>> _______________________________________________
>>>>>>> caiu mailing list
>>>>>>>   caiu em eng.registro.br
>>>>>>>   https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>>   https://eng.registro.br/mailman/options/caiu
>>>>>>>
>>>>>>>
>>>>>>
>>>>>> --
>>>>>>
>>>>>> Att.
>>>>>> Felipe L Gobetti
>>>>>>   fel3456 em gmail.com
>>>>>> (44) 9829 6093
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>>   caiu em eng.registro.br
>>>>>>   https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>>   https://eng.registro.br/mailman/options/caiu
>>>>>>
>>>>>>
>>>>>
>>>>> --
>>>>> Andrio Prestes Jasper
>>>>> Celular: (65) 9320-3170 / 8444 0040
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>> --
>>> José Nilton
>>> Telefone : ( 88 ) 9612 - 0564
>>> Skype : jn em linkcariri.com
>>> _______________________________________________
>>> caiu mailing list
>>> caiu em eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>>>
>>
>>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>



-- 
Felippe Alves Constantino - Diretor Técnico
Farol Telecom - Pelotas / RS
Celular: (53) 8402-0786


Mais detalhes sobre a lista de discussão caiu