[caiu] Virus UBNT
Felippe Alves Constantino
fconstantino em gmail.com
Dom Maio 15 15:02:30 BRT 2016
Recebo esse seguinte erro:
XM.v5.5.10# wget -qO-
https://raw.githubusercontent.com/diegocanton/remove_ubnt_
mf/master/desinfect.sh | sh
wget: not an http or ftp url:
https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
XM.v5.5.10#
Att.
Em 15 de maio de 2016 14:44, Diego Canton de Brito <
diegocanton em ensite.com.br> escreveu:
> Pessoal, também postaram no fórum um APK para android que promete fazer
> o mesmo, parece ter sido desenvolvido por um membro (VLAD) do fórum
> UBNT, o código esta no GITHUB e acaba de ser anunciado no GooglePlay,
> ELE NÃO É OFICIAL, mas facilita, NÃO TESTEI.
>
>
> https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval
>
>
> ---
>
> Em 2016-05-15 14:37, Felippe Alves Constantino escreveu:
>
> > Diego,
> >
> > Esse script "wget -qO-
> >
> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
> > | sh" reseta o rádio, ou volta continua a configuração que está sem o
> vírus?
> >
> > Att.
> >
> > Em 15 de maio de 2016 14:33, Gabriel Fernandes Galvao <
> > gabriel em fasttelecom.net.br> escreveu:
> >
> > Fixo e lan
> >
> > Em 15/05/2016 14:26, Ronan Ramos escreveu:
> >
> > Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
> > Ronan
> >
> > -----Mensagem Original-----
> > De: "Felippe Alves Constantino" <fconstantino em gmail.com>
> > Enviada em: 15/05/2016 14:12
> > Para: "Lista das indisponibilidades da Internet brasileira" <
> > caiu em eng.registro.br>
> > Assunto: Re: [caiu] Virus UBNT
> >
> > Boa tarde!
> >
> > Esse script "wget -qO-
> >
> >
> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
> > | sh" reseta o rádio, ou volta continua a configuração que está sem o
> > vírus?
> >
> > Att.
> >
> > Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com> escreveu:
> >
> > Boa tarde alguém ja identificou por qual porta esta vindo esse vírus e
> ip ?
> >
> > Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
> > diegocanton em ensite.com.br> escreveu:
> >
> > Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor,
> por xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está
> > sendo
> > filtrada no comando, removido todos os demais dados e apresentado apenas
> > os
> >
> > IPs possivelmente infectados, pois não são válidos e comuns as consultas
> > pelo domínio "." (Domínio Ponto)
> > Como disse quando postei o comando, ele deve ser executado em seu
> > servidor
> >
> > DNS.
> > --
> > Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
> > -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
> >
> > Esses ips são da sua rede? provavelmente estão infectados.
> > Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com >
> > escreveu:
> >
> > Senhores, Executei o comando aqui nos servidores DNS, o que tem de
> retorno, é
> > apenas
>
> > IPs, um abaixo do outro.
> >
> >> Isso significa que esta limpo??
> >>
> >> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
> > mascaraapj em gmail.com >
>
> > escreveu:
> >
> >> meu caro, caso tenha acompanhado... não importa a complexidade dasenha,
>
> > o
> > virus consegue entrar assim mesmo, pois a falha que ele explora não
> > precisa
> >
> > de autenticação.
> >
> > Eu também achei que não tinha problema.
> > Até rodar o comando abaixo no servidor DNS, foi quando descobri
> > alguns
>
> > clientes infectados mas que ainda não tinha dado problema.
> > tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
> > cut
>
> > -f5-8 -d "." | cut -f3 -d " "
> > Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
> > escreveu:
> >
> > Eu tenho que admirar viu. A culpa desse caos são dos descuidadosdonos
>
> > de
> > provedores de meia boca que cometem a gafe de deixar seusequipamentos
>
> > na
> > porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.). Venho
> acompanhando isso em forum polones a varios meses que falam
> > de
>
> > coisas
> > localizadas no leste Europeu, assim como um famoso rootkit que se
> > camufla
>
> > nos equipamentos MK (alguem se lembra dos cracks do autocad quemandava
>
> > arquivos para a China?).
> > A UBNT vem falando e adicionando regras de segurança ja faz tempo.
> >
> > Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
> > 5.64.
>
> > Não
> > tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
> > não
>
> > permitir trocar o usuario master (tem que ser ubnt). Consegui somente
>
> > via
> > Cli.
> > Quanto ao EdgeRouter vai pelo mesmo rumo.
> >
> > Demais coisas beijos e abraços e boa sorte, ja que aprender a
> > lingua
>
> > inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha
>
> > - _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
> >
> > --
> > Andrio Prestes Jasper
> > Celular: (65) 9320-3170 / 8444 0040
> > _______________________________________________
> > caiu mailing list
> > caiu em eng.registro.br
> > https://eng.registro.br/mailman/listinfo/caiu
> >
> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> >
> > https://eng.registro.br/mailman/options/caiu
>
> --
>
> Att.
> Felipe L Gobetti
> fel3456 em gmail.com
> (44) 9829 6093
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
> --
> Andrio Prestes Jasper
> Celular: (65) 9320-3170 / 8444 0040
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
> -- José Nilton
> Telefone : ( 88 ) 9612 - 0564
> Skype : jn em linkcariri.com
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
Felippe Alves Constantino - Diretor Técnico
Farol Telecom - Pelotas / RS
Celular: (53) 8402-0786
Mais detalhes sobre a lista de discussão caiu