[caiu] Virus UBNT

Felippe Alves Constantino fconstantino em gmail.com
Dom Maio 15 15:38:01 BRT 2016


Sim, já estou atualizando os que não estão. Obrigado pela lembrança!

Att.

Em 15 de maio de 2016 15:34, Alexandre J. Correa (Onda) <
alexandre em onda.net.br> escreveu:

> Felipe.. atualize os radios para a versao 5.6.4 !!
>
> Senão infecta novamente...
>
>
>
> Em 15/05/2016 15:28, Felippe Alves Constantino escreveu:
>
>> Deu certo, rodei o script e reiniciei o equipamento e voltou ao normal.
>> Obrigado! Se alguém precisar, coloquei o arquivo em:
>> http://www.faroltelecom.com.br/desinfect.sh
>>
>> Em 15 de maio de 2016 15:15, Felippe Alves Constantino <
>> fconstantino em gmail.com> escreveu:
>>
>> Ele não reseta o equipamento né? Somente remove o vírus?
>>>
>>> Att.
>>>
>>> Em 15 de maio de 2016 15:12, Diego Canton de Brito <
>>> diegocanton em ensite.com.br> escreveu:
>>>
>>> Copie o código, coloque em um WEB seu e mude o link no script.
>>>>
>>>> Aqui eu rodei no servidor, depois enviei tudo para o GIT para o pessoal
>>>> ter um exemplo de como fiz, não sabia que o wget do firmware não tinha
>>>> suporte a https :/
>>>>
>>>> ---
>>>>
>>>> Em 2016-05-15 15:02, Felippe Alves Constantino escreveu:
>>>>
>>>> Recebo esse seguinte erro:
>>>>>
>>>>> XM.v5.5.10# wget -qO-
>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_
>>>>> mf/master/desinfect.sh | sh
>>>>> wget: not an http or ftp url:
>>>>>
>>>>>
>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>>
>>>>> XM.v5.5.10#
>>>>>
>>>>> Att.
>>>>>
>>>>> Em 15 de maio de 2016 14:44, Diego Canton de Brito <
>>>>> diegocanton em ensite.com.br> escreveu:
>>>>>
>>>>> Pessoal, também postaram no fórum um APK para android que promete fazer
>>>>> o mesmo, parece ter sido desenvolvido por um membro (VLAD) do fórum
>>>>> UBNT, o código esta no GITHUB e acaba de ser anunciado no GooglePlay,
>>>>> ELE NÃO É OFICIAL, mas facilita, NÃO TESTEI.
>>>>>
>>>>>
>>>>>
>>>> https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval
>>>>
>>>>> ---
>>>>>
>>>>> Em 2016-05-15 14:37, Felippe Alves Constantino escreveu:
>>>>>
>>>>> Diego,
>>>>>
>>>>> Esse script "wget -qO-
>>>>>
>>>>>
>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>>>> vírus?
>>>>
>>>>> Att.
>>>>>
>>>>> Em 15 de maio de 2016 14:33, Gabriel Fernandes Galvao <
>>>>> gabriel em fasttelecom.net.br> escreveu:
>>>>>
>>>>> Fixo e lan
>>>>>
>>>>> Em 15/05/2016 14:26, Ronan Ramos escreveu:
>>>>>
>>>>> Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
>>>>> Ronan
>>>>>
>>>>> -----Mensagem Original-----
>>>>> De: "Felippe Alves Constantino" <fconstantino em gmail.com>
>>>>> Enviada em: ‎15/‎05/‎2016 14:12
>>>>> Para: "Lista das indisponibilidades da Internet brasileira" <
>>>>> caiu em eng.registro.br>
>>>>> Assunto: Re: [caiu] Virus UBNT
>>>>>
>>>>> Boa tarde!
>>>>>
>>>>> Esse script "wget -qO-
>>>>>
>>>>>
>>>>>
>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>>>>
>>>>> vírus?
>>>>>
>>>>> Att.
>>>>>
>>>>> Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com> escreveu:
>>>>>
>>>>> Boa tarde alguém ja identificou por qual porta esta vindo esse vírus e
>>>>>
>>>> ip ?
>>>>
>>>>> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
>>>>> diegocanton em ensite.com.br> escreveu:
>>>>>
>>>>> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor,
>>>>>
>>>> por xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está
>>>> sendo
>>>>
>>>>> filtrada no comando, removido todos os demais dados e apresentado
>>>>> apenas
>>>>> os
>>>>>
>>>>> IPs possivelmente infectados, pois não são válidos e comuns as
>>>>> consultas
>>>>> pelo domínio "." (Domínio Ponto)
>>>>> Como disse quando postei o comando, ele deve ser executado em seu
>>>>> servidor
>>>>>
>>>>> DNS.
>>>>> --
>>>>> Enviado do aplicativo myMail para Android domingo, 15 maio 2016,
>>>>> 01:52PM
>>>>> -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
>>>>>
>>>>> Esses ips são da sua rede? provavelmente estão infectados.
>>>>> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com >
>>>>> escreveu:
>>>>>
>>>>> Senhores, Executei o comando aqui nos servidores DNS, o que tem de
>>>>>
>>>> retorno, é apenas
>>>>
>>>>> IPs, um abaixo do outro.
>>>>>
>>>>> Isso significa que esta limpo??
>>>>>
>>>>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
>>>>>
>>>> mascaraapj em gmail.com >
>>>>
>>>> escreveu:
>>>>>
>>>>> meu caro, caso tenha acompanhado... não importa a complexidade dasenha,
>>>>>>
>>>>> o
>>>>> virus consegue entrar assim mesmo, pois a falha que ele explora não
>>>>> precisa
>>>>>
>>>>> de autenticação.
>>>>>
>>>>> Eu também achei que não tinha problema.
>>>>> Até rodar o comando abaixo no servidor DNS, foi quando descobri
>>>>> alguns
>>>>> clientes infectados mas que ainda não tinha dado problema.
>>>>> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
>>>>> cut
>>>>> -f5-8 -d "." | cut -f3 -d " "
>>>>> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
>>>>> escreveu:
>>>>>
>>>>> Eu tenho que admirar viu. A culpa desse caos são dos descuidadosdonos
>>>>> de
>>>>> provedores de meia boca que cometem a gafe de deixar seusequipamentos
>>>>> na
>>>>> porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.). Venho
>>>>>
>>>>   acompanhando isso em forum polones a varios meses que falam
>>>>
>>>> de
>>>>> coisas
>>>>> localizadas no leste Europeu, assim como um famoso rootkit que se
>>>>> camufla
>>>>> nos equipamentos MK (alguem se lembra dos cracks do autocad quemandava
>>>>> arquivos para a China?).
>>>>> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>>>>>
>>>>> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
>>>>> 5.64.
>>>>> Não
>>>>> tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
>>>>> não
>>>>> permitir trocar o usuario master (tem que ser ubnt). Consegui somente
>>>>> via
>>>>> Cli.
>>>>> Quanto ao EdgeRouter vai pelo mesmo rumo.
>>>>>
>>>>> Demais coisas beijos e abraços e boa sorte, ja que aprender a
>>>>> lingua
>>>>> inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha
>>>>> - _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>>> --
>>>>> Andrio Prestes Jasper
>>>>> Celular: (65) 9320-3170 / 8444 0040
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>> --
>>>>
>>>> Att.
>>>> Felipe L Gobetti
>>>>    fel3456 em gmail.com
>>>> (44) 9829 6093
>>>> _______________________________________________
>>>> caiu mailing list
>>>>    caiu em eng.registro.br
>>>>    https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>>    https://eng.registro.br/mailman/options/caiu
>>>>
>>>> --
>>>> Andrio Prestes Jasper
>>>> Celular: (65) 9320-3170 / 8444 0040
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>   _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>> -- José Nilton
>>>> Telefone : ( 88 ) 9612 - 0564
>>>> Skype : jn em linkcariri.com
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>>   _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>>
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>>
>>>
>>> --
>>> Felippe Alves Constantino - Diretor Técnico
>>> Farol Telecom - Pelotas / RS
>>> Celular: (53) 8402-0786
>>>
>>>
>>
>>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Onda Internet
> Office: +55 34 3351 3077
> www.onda.net.br
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>



-- 
Felippe Alves Constantino - Diretor Técnico
Farol Telecom - Pelotas / RS
Celular: (53) 8402-0786


Mais detalhes sobre a lista de discussão caiu