[caiu] Virus UBNT

Diego Canton de Brito diegocanton em ensite.com.br
Dom Maio 15 15:30:27 BRT 2016 

Amigão, o código é aberto exatamente para você poder ler e se achar
confiável executar, torno a dizer é um exemplo do que executei nos
pouquíssimos rádios que temos em nossa rede, um amigo que deu a ideia de
postar isso no GIT.  

Lembrando que como detectei anomalia em meus servidores DNS no inicio,
não tive resets na rede, pois limpei a rede logo, os casos de reset que
tenho noticia são dos que deixaram pra tomar uma medida posterior. Tenho
ouvido relatos de provedores com 500+ resets. 

Se tiver medo, use o exato código que o Alexandre postou. E se tiver
ainda mais medo, remova a parte do upgrade e vá fazendo um a um depois.
Ah, não se esqueça de bloquear toda a comunicação interna da porta 80,
afinal não queremos que o vírus volte reinfectando tudo. 

Como está no inicio do GIT, todas as informações podem ser obtidas em
http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940


Em 2016-05-15 15:15, Felippe Alves Constantino escreveu:

> Ele não reseta o equipamento né? Somente remove o vírus?
> 
> Att.
> 
> Em 15 de maio de 2016 15:12, Diego Canton de Brito <
> diegocanton em ensite.com.br> escreveu:
> 
> Copie o código, coloque em um WEB seu e mude o link no script.
> 
> Aqui eu rodei no servidor, depois enviei tudo para o GIT para o pessoal
> ter um exemplo de como fiz, não sabia que o wget do firmware não tinha
> suporte a https :/
> 
> ---
> 
> Em 2016-05-15 15:02, Felippe Alves Constantino escreveu:
> 
> Recebo esse seguinte erro:
> 
> XM.v5.5.10# wget -qO-
> https://raw.githubusercontent.com/diegocanton/remove_ubnt_
> mf/master/desinfect.sh | sh
> wget: not an http or ftp url:
> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh XM.v5.5.10#
> 
> Att.
> 
> Em 15 de maio de 2016 14:44, Diego Canton de Brito <
> diegocanton em ensite.com.br> escreveu:
> 
> Pessoal, também postaram no fórum um APK para android que promete fazer
> o mesmo, parece ter sido desenvolvido por um membro (VLAD) do fórum
> UBNT, o código esta no GITHUB e acaba de ser anunciado no GooglePlay,
> ELE NÃO É OFICIAL, mas facilita, NÃO TESTEI.
> 
> https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval 
> ---
> 
> Em 2016-05-15 14:37, Felippe Alves Constantino escreveu:
> 
> Diego,
> 
> Esse script "wget -qO-
> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
> | sh" reseta o rádio, ou volta continua a configuração que está sem o vírus? Att.
> 
> Em 15 de maio de 2016 14:33, Gabriel Fernandes Galvao <
> gabriel em fasttelecom.net.br> escreveu:
> 
> Fixo e lan
> 
> Em 15/05/2016 14:26, Ronan Ramos escreveu:
> 
> Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
> Ronan
> 
> -----Mensagem Original-----
> De: "Felippe Alves Constantino" <fconstantino em gmail.com>
> Enviada em: ‎15/‎05/‎2016 14:12
> Para: "Lista das indisponibilidades da Internet brasileira" <
> caiu em eng.registro.br>
> Assunto: Re: [caiu] Virus UBNT
> 
> Boa tarde!
> 
> Esse script "wget -qO-
> 
> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
> | sh" reseta o rádio, ou volta continua a configuração que está sem o vírus?
> 
> Att.
> 
> Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com> escreveu:
> 
> Boa tarde alguém ja identificou por qual porta esta vindo esse vírus e ip ? Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
> diegocanton em ensite.com.br> escreveu:
> 
> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor, por xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está
> sendo filtrada no comando, removido todos os demais dados e apresentado apenas
> os
> 
> IPs possivelmente infectados, pois não são válidos e comuns as consultas
> pelo domínio "." (Domínio Ponto)
> Como disse quando postei o comando, ele deve ser executado em seu
> servidor
> 
> DNS.
> --
> Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
> -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
> 
> Esses ips são da sua rede? provavelmente estão infectados.
> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com >
> escreveu:
> 
> Senhores, Executei o comando aqui nos servidores DNS, o que tem de retorno, é apenas IPs, um abaixo do outro.
> 
> Isso significa que esta limpo??
> 
> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper < mascaraapj em gmail.com >
> 
> escreveu:
> 
> meu caro, caso tenha acompanhado... não importa a complexidade dasenha,

> o
> virus consegue entrar assim mesmo, pois a falha que ele explora não
> precisa
> 
> de autenticação.
> 
> Eu também achei que não tinha problema.
> Até rodar o comando abaixo no servidor DNS, foi quando descobri
> alguns

> clientes infectados mas que ainda não tinha dado problema.
> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
> cut

> -f5-8 -d "." | cut -f3 -d " "
> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
> escreveu:
> 
> Eu tenho que admirar viu. A culpa desse caos são dos descuidadosdonos

> de
> provedores de meia boca que cometem a gafe de deixar seusequipamentos

> na
> porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.). Venho
  acompanhando isso em forum polones a varios meses que falam

> de

> coisas
> localizadas no leste Europeu, assim como um famoso rootkit que se
> camufla

> nos equipamentos MK (alguem se lembra dos cracks do autocad quemandava

> arquivos para a China?).
> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
> 
> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
> 5.64.

> Não
> tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
> não

> permitir trocar o usuario master (tem que ser ubnt). Consegui somente

> via
> Cli.
> Quanto ao EdgeRouter vai pelo mesmo rumo.
> 
> Demais coisas beijos e abraços e boa sorte, ja que aprender a
> lingua

> inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha

> - _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
> 
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> 
> https://eng.registro.br/mailman/options/caiu
> 
> --
> Andrio Prestes Jasper
> Celular: (65) 9320-3170 / 8444 0040
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
> 
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
> 
> https://eng.registro.br/mailman/options/caiu

--

Att.
Felipe L Gobetti
  fel3456 em gmail.com
(44) 9829 6093
_______________________________________________
caiu mailing list
  caiu em eng.registro.br
  https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

  https://eng.registro.br/mailman/options/caiu

--
Andrio Prestes Jasper
Celular: (65) 9320-3170 / 8444 0040
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu
 _______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu

-- José Nilton
Telefone : ( 88 ) 9612 - 0564
Skype : jn em linkcariri.com
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu

 _______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu

_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu

_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu

--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:

https://eng.registro.br/mailman/options/caiu

Mais detalhes sobre a lista de discussão caiu