[caiu] Virus UBNT
Alexandre J. Correa (Onda)
alexandre em onda.net.br
Dom Maio 15 15:34:07 BRT 2016
Felipe.. atualize os radios para a versao 5.6.4 !!
Senão infecta novamente...
Em 15/05/2016 15:28, Felippe Alves Constantino escreveu:
> Deu certo, rodei o script e reiniciei o equipamento e voltou ao normal.
> Obrigado! Se alguém precisar, coloquei o arquivo em:
> http://www.faroltelecom.com.br/desinfect.sh
>
> Em 15 de maio de 2016 15:15, Felippe Alves Constantino <
> fconstantino at gmail.com> escreveu:
>
>> Ele não reseta o equipamento né? Somente remove o vírus?
>>
>> Att.
>>
>> Em 15 de maio de 2016 15:12, Diego Canton de Brito <
>> diegocanton at ensite.com.br> escreveu:
>>
>>> Copie o código, coloque em um WEB seu e mude o link no script.
>>>
>>> Aqui eu rodei no servidor, depois enviei tudo para o GIT para o pessoal
>>> ter um exemplo de como fiz, não sabia que o wget do firmware não tinha
>>> suporte a https :/
>>>
>>> ---
>>>
>>> Em 2016-05-15 15:02, Felippe Alves Constantino escreveu:
>>>
>>>> Recebo esse seguinte erro:
>>>>
>>>> XM.v5.5.10# wget -qO-
>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_
>>>> mf/master/desinfect.sh | sh
>>>> wget: not an http or ftp url:
>>>>
>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>> XM.v5.5.10#
>>>>
>>>> Att.
>>>>
>>>> Em 15 de maio de 2016 14:44, Diego Canton de Brito <
>>>> diegocanton at ensite.com.br> escreveu:
>>>>
>>>> Pessoal, também postaram no fórum um APK para android que promete fazer
>>>> o mesmo, parece ter sido desenvolvido por um membro (VLAD) do fórum
>>>> UBNT, o código esta no GITHUB e acaba de ser anunciado no GooglePlay,
>>>> ELE NÃO É OFICIAL, mas facilita, NÃO TESTEI.
>>>>
>>>>
>>> https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval
>>>> ---
>>>>
>>>> Em 2016-05-15 14:37, Felippe Alves Constantino escreveu:
>>>>
>>>> Diego,
>>>>
>>>> Esse script "wget -qO-
>>>>
>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>> | sh" reseta o rádio, ou volta continua a configuração que está sem o vírus?
>>>> Att.
>>>>
>>>> Em 15 de maio de 2016 14:33, Gabriel Fernandes Galvao <
>>>> gabriel at fasttelecom.net.br> escreveu:
>>>>
>>>> Fixo e lan
>>>>
>>>> Em 15/05/2016 14:26, Ronan Ramos escreveu:
>>>>
>>>> Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
>>>> Ronan
>>>>
>>>> -----Mensagem Original-----
>>>> De: "Felippe Alves Constantino" <fconstantino at gmail.com>
>>>> Enviada em: 15/05/2016 14:12
>>>> Para: "Lista das indisponibilidades da Internet brasileira" <
>>>> caiu at eng.registro.br>
>>>> Assunto: Re: [caiu] Virus UBNT
>>>>
>>>> Boa tarde!
>>>>
>>>> Esse script "wget -qO-
>>>>
>>>>
>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>>>> vírus?
>>>>
>>>> Att.
>>>>
>>>> Em 15 de maio de 2016 14:08, José Nilton <jn at linkcariri.com> escreveu:
>>>>
>>>> Boa tarde alguém ja identificou por qual porta esta vindo esse vírus e
>>> ip ?
>>>> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
>>>> diegocanton at ensite.com.br> escreveu:
>>>>
>>>> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor,
>>> por xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está
>>> sendo
>>>> filtrada no comando, removido todos os demais dados e apresentado apenas
>>>> os
>>>>
>>>> IPs possivelmente infectados, pois não são válidos e comuns as consultas
>>>> pelo domínio "." (Domínio Ponto)
>>>> Como disse quando postei o comando, ele deve ser executado em seu
>>>> servidor
>>>>
>>>> DNS.
>>>> --
>>>> Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
>>>> -03:00 de Andrio Prestes Jasper < mascaraapj at gmail.com> :
>>>>
>>>> Esses ips são da sua rede? provavelmente estão infectados.
>>>> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 at gmail.com >
>>>> escreveu:
>>>>
>>>> Senhores, Executei o comando aqui nos servidores DNS, o que tem de
>>> retorno, é apenas
>>>> IPs, um abaixo do outro.
>>>>
>>>> Isso significa que esta limpo??
>>>>
>>>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
>>> mascaraapj at gmail.com >
>>>
>>>> escreveu:
>>>>
>>>>> meu caro, caso tenha acompanhado... não importa a complexidade dasenha,
>>>> o
>>>> virus consegue entrar assim mesmo, pois a falha que ele explora não
>>>> precisa
>>>>
>>>> de autenticação.
>>>>
>>>> Eu também achei que não tinha problema.
>>>> Até rodar o comando abaixo no servidor DNS, foi quando descobri
>>>> alguns
>>>> clientes infectados mas que ainda não tinha dado problema.
>>>> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
>>>> cut
>>>> -f5-8 -d "." | cut -f3 -d " "
>>>> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual at gmail.com
>>>> escreveu:
>>>>
>>>> Eu tenho que admirar viu. A culpa desse caos são dos descuidadosdonos
>>>> de
>>>> provedores de meia boca que cometem a gafe de deixar seusequipamentos
>>>> na
>>>> porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.). Venho
>>> acompanhando isso em forum polones a varios meses que falam
>>>
>>>> de
>>>> coisas
>>>> localizadas no leste Europeu, assim como um famoso rootkit que se
>>>> camufla
>>>> nos equipamentos MK (alguem se lembra dos cracks do autocad quemandava
>>>> arquivos para a China?).
>>>> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>>>>
>>>> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
>>>> 5.64.
>>>> Não
>>>> tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
>>>> não
>>>> permitir trocar o usuario master (tem que ser ubnt). Consegui somente
>>>> via
>>>> Cli.
>>>> Quanto ao EdgeRouter vai pelo mesmo rumo.
>>>>
>>>> Demais coisas beijos e abraços e boa sorte, ja que aprender a
>>>> lingua
>>>> inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha
>>>> - _______________________________________________
>>>> caiu mailing list
>>>> caiu at eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>> --
>>>> Andrio Prestes Jasper
>>>> Celular: (65) 9320-3170 / 8444 0040
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu at eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>> --
>>>
>>> Att.
>>> Felipe L Gobetti
>>> fel3456 at gmail.com
>>> (44) 9829 6093
>>> _______________________________________________
>>> caiu mailing list
>>> caiu at eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>>> --
>>> Andrio Prestes Jasper
>>> Celular: (65) 9320-3170 / 8444 0040
>>> _______________________________________________
>>> caiu mailing list
>>> caiu at eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>> _______________________________________________
>>> caiu mailing list
>>> caiu at eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>>> -- José Nilton
>>> Telefone : ( 88 ) 9612 - 0564
>>> Skype : jn at linkcariri.com
>>> _______________________________________________
>>> caiu mailing list
>>> caiu at eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>>> _______________________________________________
>>> caiu mailing list
>>> caiu at eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>>> _______________________________________________
>>> caiu mailing list
>>> caiu at eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>>>
>>> _______________________________________________
>>> caiu mailing list
>>> caiu at eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>>
>>
>> --
>> Felippe Alves Constantino - Diretor Técnico
>> Farol Telecom - Pelotas / RS
>> Celular: (53) 8402-0786
>>
>
>
--
Sds.
Alexandre Jeronimo Correa
Onda Internet
Office: +55 34 3351 3077
www.onda.net.br
Mais detalhes sobre a lista de discussão caiu