[caiu] Virus UBNT

[Diego Canton de Brito]

A principio ele irá infectar um com IP Público, que esteja desatualizado
e na porta padrão HTTP ou HTTPS, uma vez esse equipamento infectado ele
começa a varrer de 0.0.0.1 até 999.255.255.255, ou seja fará em todos os
IPs, alguns equipamentos parecem rebootar antes de chegarem ao fim,
outros chegam (18 horas) e acabam resetados, segundo o que entendi no
fórum da UBNT. 

Em 2016-05-15 14:26, Ronan Ramos escreveu: 

> Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
> Ronan
> 
> -----Mensagem Original-----
> De: "Felippe Alves Constantino" <fconstantino em gmail.com>
> Enviada em: ‎15/‎05/‎2016 14:12
> Para: "Lista das indisponibilidades da Internet brasileira" <caiu em eng.registro.br>
> Assunto: Re: [caiu] Virus UBNT
> 
> Boa tarde!
> 
> Esse script "wget -qO-
> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
> | sh" reseta o rádio, ou volta continua a configuração que está sem o vírus?
> 
> Att.
> 
> Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com> escreveu:
> 
> Boa tarde
> alguém ja identificou por qual porta esta vindo esse vírus e ip ?
> 
> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
> diegocanton em ensite.com.br> escreveu:
> 
> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor, por
> xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está sendo
> filtrada no comando, removido todos os demais dados e apresentado apenas os IPs possivelmente infectados, pois não são válidos e comuns as consultas
> pelo domínio "." (Domínio Ponto)
> Como disse quando postei o comando, ele deve ser executado em seu servidor DNS.
> --
> Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
> -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
> 
> Esses ips são da sua rede? provavelmente estão infectados.
> 
> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com > escreveu: 
> Senhores,
> Executei o comando aqui nos servidores DNS, o que tem de retorno, é
 apenas 

>> IPs, um abaixo do outro.
>> Isso significa que esta limpo??
>> 
>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
 mascaraapj em gmail.com > 

> escreveu:
> 
> meu caro, caso tenha acompanhado... não importa a complexidade da
 senha, 

> o virus consegue entrar assim mesmo, pois a falha que ele explora não precisa de autenticação.
> 
> Eu também achei que não tinha problema.
> Até rodar o comando abaixo no servidor DNS, foi quando descobri
 alguns 

> clientes infectados mas que ainda não tinha dado problema.
> 
> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
 cut 

> -f5-8 -d "." | cut -f3 -d " "
> 
> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com

> escreveu:
> 
> Eu tenho que admirar viu. A culpa desse caos são dos descuidados
 donos 

> de provedores de meia boca que cometem a gafe de deixar seus
 equipamentos 

> na porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.).
> Venho acompanhando isso em forum polones a varios meses que falam
 de 

> coisas localizadas no leste Europeu, assim como um famoso rootkit que se
 camufla 

>> nos equipamentos MK (alguem se lembra dos cracks do autocad que
 mandava 

> arquivos para a China?).
> 
> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
> 
> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
 5.64. 

> Não tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
 não 

> permitir trocar o usuario master (tem que ser ubnt). Consegui
 somente 

> via Cli.
> 
> Quanto ao EdgeRouter vai pelo mesmo rumo.
> 
> Demais coisas beijos e abraços e boa sorte, ja que aprender a
 lingua 

> inglesa é uma obrigatoriedade e ficar alerta mais ainda.
 ahahahahaha 

> -
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
> 
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> 
> https://eng.registro.br/mailman/options/caiu
> 
> --
> Andrio Prestes Jasper
> Celular: (65) 9320-3170 / 8444 0040
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
> 
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> 
> https://eng.registro.br/mailman/options/caiu

--

Att.
Felipe L Gobetti
 fel3456 em gmail.com
(44) 9829 6093
_______________________________________________
caiu mailing list
 caiu em eng.registro.br
 https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

 https://eng.registro.br/mailman/options/caiu

--
Andrio Prestes Jasper
Celular: (65) 9320-3170 / 8444 0040
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu
 --
José Nilton
Telefone : ( 88 ) 9612 - 0564
Skype : jn em linkcariri.com
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu

-- 
Felippe Alves Constantino - Diretor Técnico
Farol Telecom - Pelotas / RS
Celular: (53) 8402-0786
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu