[caiu] Virus UBNT
Felippe Alves Constantino
fconstantino em gmail.com
Dom Maio 15 15:28:41 BRT 2016
Deu certo, rodei o script e reiniciei o equipamento e voltou ao normal.
Obrigado! Se alguém precisar, coloquei o arquivo em:
http://www.faroltelecom.com.br/desinfect.sh
Em 15 de maio de 2016 15:15, Felippe Alves Constantino <
fconstantino em gmail.com> escreveu:
> Ele não reseta o equipamento né? Somente remove o vírus?
>
> Att.
>
> Em 15 de maio de 2016 15:12, Diego Canton de Brito <
> diegocanton em ensite.com.br> escreveu:
>
>> Copie o código, coloque em um WEB seu e mude o link no script.
>>
>> Aqui eu rodei no servidor, depois enviei tudo para o GIT para o pessoal
>> ter um exemplo de como fiz, não sabia que o wget do firmware não tinha
>> suporte a https :/
>>
>> ---
>>
>> Em 2016-05-15 15:02, Felippe Alves Constantino escreveu:
>>
>> > Recebo esse seguinte erro:
>> >
>> > XM.v5.5.10# wget -qO-
>> > https://raw.githubusercontent.com/diegocanton/remove_ubnt_
>> > mf/master/desinfect.sh | sh
>> > wget: not an http or ftp url:
>> >
>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>> > XM.v5.5.10#
>> >
>> > Att.
>> >
>> > Em 15 de maio de 2016 14:44, Diego Canton de Brito <
>> > diegocanton em ensite.com.br> escreveu:
>> >
>> > Pessoal, também postaram no fórum um APK para android que promete fazer
>> > o mesmo, parece ter sido desenvolvido por um membro (VLAD) do fórum
>> > UBNT, o código esta no GITHUB e acaba de ser anunciado no GooglePlay,
>> > ELE NÃO É OFICIAL, mas facilita, NÃO TESTEI.
>> >
>> >
>> https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval
>> >
>> > ---
>> >
>> > Em 2016-05-15 14:37, Felippe Alves Constantino escreveu:
>> >
>> > Diego,
>> >
>> > Esse script "wget -qO-
>> >
>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>> | sh" reseta o rádio, ou volta continua a configuração que está sem o vírus?
>> > Att.
>> >
>> > Em 15 de maio de 2016 14:33, Gabriel Fernandes Galvao <
>> > gabriel em fasttelecom.net.br> escreveu:
>> >
>> > Fixo e lan
>> >
>> > Em 15/05/2016 14:26, Ronan Ramos escreveu:
>> >
>> > Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
>> > Ronan
>> >
>> > -----Mensagem Original-----
>> > De: "Felippe Alves Constantino" <fconstantino em gmail.com>
>> > Enviada em: 15/05/2016 14:12
>> > Para: "Lista das indisponibilidades da Internet brasileira" <
>> > caiu em eng.registro.br>
>> > Assunto: Re: [caiu] Virus UBNT
>> >
>> > Boa tarde!
>> >
>> > Esse script "wget -qO-
>> >
>> >
>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>> > vírus?
>> >
>> > Att.
>> >
>> > Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com> escreveu:
>> >
>> > Boa tarde alguém ja identificou por qual porta esta vindo esse vírus e
>> ip ?
>> > Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
>> > diegocanton em ensite.com.br> escreveu:
>> >
>> > Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor,
>> por xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está
>> sendo
>> > filtrada no comando, removido todos os demais dados e apresentado apenas
>> > os
>> >
>> > IPs possivelmente infectados, pois não são válidos e comuns as consultas
>> > pelo domínio "." (Domínio Ponto)
>> > Como disse quando postei o comando, ele deve ser executado em seu
>> > servidor
>> >
>> > DNS.
>> > --
>> > Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
>> > -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
>> >
>> > Esses ips são da sua rede? provavelmente estão infectados.
>> > Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com >
>> > escreveu:
>> >
>> > Senhores, Executei o comando aqui nos servidores DNS, o que tem de
>> retorno, é apenas
>> > IPs, um abaixo do outro.
>> >
>> > Isso significa que esta limpo??
>> >
>> > Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
>> mascaraapj em gmail.com >
>>
>> > escreveu:
>> >
>> >> meu caro, caso tenha acompanhado... não importa a complexidade dasenha,
>>
>> > o
>> > virus consegue entrar assim mesmo, pois a falha que ele explora não
>> > precisa
>> >
>> > de autenticação.
>> >
>> > Eu também achei que não tinha problema.
>> > Até rodar o comando abaixo no servidor DNS, foi quando descobri
>> > alguns
>>
>> > clientes infectados mas que ainda não tinha dado problema.
>> > tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
>> > cut
>>
>> > -f5-8 -d "." | cut -f3 -d " "
>> > Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
>> > escreveu:
>> >
>> > Eu tenho que admirar viu. A culpa desse caos são dos descuidadosdonos
>>
>> > de
>> > provedores de meia boca que cometem a gafe de deixar seusequipamentos
>>
>> > na
>> > porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.). Venho
>> acompanhando isso em forum polones a varios meses que falam
>>
>> > de
>>
>> > coisas
>> > localizadas no leste Europeu, assim como um famoso rootkit que se
>> > camufla
>>
>> > nos equipamentos MK (alguem se lembra dos cracks do autocad quemandava
>>
>> > arquivos para a China?).
>> > A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>> >
>> > Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
>> > 5.64.
>>
>> > Não
>> > tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
>> > não
>>
>> > permitir trocar o usuario master (tem que ser ubnt). Consegui somente
>>
>> > via
>> > Cli.
>> > Quanto ao EdgeRouter vai pelo mesmo rumo.
>> >
>> > Demais coisas beijos e abraços e boa sorte, ja que aprender a
>> > lingua
>>
>> > inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha
>>
>> > - _______________________________________________
>> > caiu mailing list
>> > caiu em eng.registro.br
>> > https://eng.registro.br/mailman/listinfo/caiu
>> >
>> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >
>> > https://eng.registro.br/mailman/options/caiu
>> >
>> > --
>> > Andrio Prestes Jasper
>> > Celular: (65) 9320-3170 / 8444 0040
>> > _______________________________________________
>> > caiu mailing list
>> > caiu em eng.registro.br
>> > https://eng.registro.br/mailman/listinfo/caiu
>> >
>> > --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>> >
>> > https://eng.registro.br/mailman/options/caiu
>>
>> --
>>
>> Att.
>> Felipe L Gobetti
>> fel3456 em gmail.com
>> (44) 9829 6093
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>> --
>> Andrio Prestes Jasper
>> Celular: (65) 9320-3170 / 8444 0040
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>> -- José Nilton
>> Telefone : ( 88 ) 9612 - 0564
>> Skype : jn em linkcariri.com
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>>
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>
>
>
> --
> Felippe Alves Constantino - Diretor Técnico
> Farol Telecom - Pelotas / RS
> Celular: (53) 8402-0786
>
--
Felippe Alves Constantino - Diretor Técnico
Farol Telecom - Pelotas / RS
Celular: (53) 8402-0786
Mais detalhes sobre a lista de discussão caiu