[caiu] Virus UBNT
Felippe Alves Constantino
fconstantino em gmail.com
Dom Maio 15 15:39:53 BRT 2016
Qual teu script que já faz o upgrade Alexandre?
Att.
Em 15 de maio de 2016 15:38, Felippe Alves Constantino <
fconstantino em gmail.com> escreveu:
> Sim, já estou atualizando os que não estão. Obrigado pela lembrança!
>
> Att.
>
> Em 15 de maio de 2016 15:34, Alexandre J. Correa (Onda) <
> alexandre em onda.net.br> escreveu:
>
>> Felipe.. atualize os radios para a versao 5.6.4 !!
>>
>> Senão infecta novamente...
>>
>>
>>
>> Em 15/05/2016 15:28, Felippe Alves Constantino escreveu:
>>
>>> Deu certo, rodei o script e reiniciei o equipamento e voltou ao normal.
>>> Obrigado! Se alguém precisar, coloquei o arquivo em:
>>> http://www.faroltelecom.com.br/desinfect.sh
>>>
>>> Em 15 de maio de 2016 15:15, Felippe Alves Constantino <
>>> fconstantino em gmail.com> escreveu:
>>>
>>> Ele não reseta o equipamento né? Somente remove o vírus?
>>>>
>>>> Att.
>>>>
>>>> Em 15 de maio de 2016 15:12, Diego Canton de Brito <
>>>> diegocanton em ensite.com.br> escreveu:
>>>>
>>>> Copie o código, coloque em um WEB seu e mude o link no script.
>>>>>
>>>>> Aqui eu rodei no servidor, depois enviei tudo para o GIT para o pessoal
>>>>> ter um exemplo de como fiz, não sabia que o wget do firmware não tinha
>>>>> suporte a https :/
>>>>>
>>>>> ---
>>>>>
>>>>> Em 2016-05-15 15:02, Felippe Alves Constantino escreveu:
>>>>>
>>>>> Recebo esse seguinte erro:
>>>>>>
>>>>>> XM.v5.5.10# wget -qO-
>>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_
>>>>>> mf/master/desinfect.sh | sh
>>>>>> wget: not an http or ftp url:
>>>>>>
>>>>>>
>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>>>
>>>>>> XM.v5.5.10#
>>>>>>
>>>>>> Att.
>>>>>>
>>>>>> Em 15 de maio de 2016 14:44, Diego Canton de Brito <
>>>>>> diegocanton em ensite.com.br> escreveu:
>>>>>>
>>>>>> Pessoal, também postaram no fórum um APK para android que promete
>>>>>> fazer
>>>>>> o mesmo, parece ter sido desenvolvido por um membro (VLAD) do fórum
>>>>>> UBNT, o código esta no GITHUB e acaba de ser anunciado no GooglePlay,
>>>>>> ELE NÃO É OFICIAL, mas facilita, NÃO TESTEI.
>>>>>>
>>>>>>
>>>>>>
>>>>> https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval
>>>>>
>>>>>> ---
>>>>>>
>>>>>> Em 2016-05-15 14:37, Felippe Alves Constantino escreveu:
>>>>>>
>>>>>> Diego,
>>>>>>
>>>>>> Esse script "wget -qO-
>>>>>>
>>>>>>
>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>>>>> vírus?
>>>>>
>>>>>> Att.
>>>>>>
>>>>>> Em 15 de maio de 2016 14:33, Gabriel Fernandes Galvao <
>>>>>> gabriel em fasttelecom.net.br> escreveu:
>>>>>>
>>>>>> Fixo e lan
>>>>>>
>>>>>> Em 15/05/2016 14:26, Ronan Ramos escreveu:
>>>>>>
>>>>>> Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
>>>>>> Ronan
>>>>>>
>>>>>> -----Mensagem Original-----
>>>>>> De: "Felippe Alves Constantino" <fconstantino em gmail.com>
>>>>>> Enviada em: 15/05/2016 14:12
>>>>>> Para: "Lista das indisponibilidades da Internet brasileira" <
>>>>>> caiu em eng.registro.br>
>>>>>> Assunto: Re: [caiu] Virus UBNT
>>>>>>
>>>>>> Boa tarde!
>>>>>>
>>>>>> Esse script "wget -qO-
>>>>>>
>>>>>>
>>>>>>
>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>>>>>
>>>>>> vírus?
>>>>>>
>>>>>> Att.
>>>>>>
>>>>>> Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com>
>>>>>> escreveu:
>>>>>>
>>>>>> Boa tarde alguém ja identificou por qual porta esta vindo esse vírus e
>>>>>>
>>>>> ip ?
>>>>>
>>>>>> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
>>>>>> diegocanton em ensite.com.br> escreveu:
>>>>>>
>>>>>> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor,
>>>>>>
>>>>> por xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está
>>>>> sendo
>>>>>
>>>>>> filtrada no comando, removido todos os demais dados e apresentado
>>>>>> apenas
>>>>>> os
>>>>>>
>>>>>> IPs possivelmente infectados, pois não são válidos e comuns as
>>>>>> consultas
>>>>>> pelo domínio "." (Domínio Ponto)
>>>>>> Como disse quando postei o comando, ele deve ser executado em seu
>>>>>> servidor
>>>>>>
>>>>>> DNS.
>>>>>> --
>>>>>> Enviado do aplicativo myMail para Android domingo, 15 maio 2016,
>>>>>> 01:52PM
>>>>>> -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
>>>>>>
>>>>>> Esses ips são da sua rede? provavelmente estão infectados.
>>>>>> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com >
>>>>>> escreveu:
>>>>>>
>>>>>> Senhores, Executei o comando aqui nos servidores DNS, o que tem de
>>>>>>
>>>>> retorno, é apenas
>>>>>
>>>>>> IPs, um abaixo do outro.
>>>>>>
>>>>>> Isso significa que esta limpo??
>>>>>>
>>>>>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
>>>>>>
>>>>> mascaraapj em gmail.com >
>>>>>
>>>>> escreveu:
>>>>>>
>>>>>> meu caro, caso tenha acompanhado... não importa a complexidade
>>>>>>> dasenha,
>>>>>>>
>>>>>> o
>>>>>> virus consegue entrar assim mesmo, pois a falha que ele explora não
>>>>>> precisa
>>>>>>
>>>>>> de autenticação.
>>>>>>
>>>>>> Eu também achei que não tinha problema.
>>>>>> Até rodar o comando abaixo no servidor DNS, foi quando descobri
>>>>>> alguns
>>>>>> clientes infectados mas que ainda não tinha dado problema.
>>>>>> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
>>>>>> cut
>>>>>> -f5-8 -d "." | cut -f3 -d " "
>>>>>> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
>>>>>> escreveu:
>>>>>>
>>>>>> Eu tenho que admirar viu. A culpa desse caos são dos descuidadosdonos
>>>>>> de
>>>>>> provedores de meia boca que cometem a gafe de deixar seusequipamentos
>>>>>> na
>>>>>> porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.). Venho
>>>>>>
>>>>> acompanhando isso em forum polones a varios meses que falam
>>>>>
>>>>> de
>>>>>> coisas
>>>>>> localizadas no leste Europeu, assim como um famoso rootkit que se
>>>>>> camufla
>>>>>> nos equipamentos MK (alguem se lembra dos cracks do autocad quemandava
>>>>>> arquivos para a China?).
>>>>>> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>>>>>>
>>>>>> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
>>>>>> 5.64.
>>>>>> Não
>>>>>> tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
>>>>>> não
>>>>>> permitir trocar o usuario master (tem que ser ubnt). Consegui somente
>>>>>> via
>>>>>> Cli.
>>>>>> Quanto ao EdgeRouter vai pelo mesmo rumo.
>>>>>>
>>>>>> Demais coisas beijos e abraços e boa sorte, ja que aprender a
>>>>>> lingua
>>>>>> inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha
>>>>>> - _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu em eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>
>>>>>> --
>>>>>> Andrio Prestes Jasper
>>>>>> Celular: (65) 9320-3170 / 8444 0040
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu em eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>
>>>>> --
>>>>>
>>>>> Att.
>>>>> Felipe L Gobetti
>>>>> fel3456 em gmail.com
>>>>> (44) 9829 6093
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>>> --
>>>>> Andrio Prestes Jasper
>>>>> Celular: (65) 9320-3170 / 8444 0040
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>>> -- José Nilton
>>>>> Telefone : ( 88 ) 9612 - 0564
>>>>> Skype : jn em linkcariri.com
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> caiu mailing list
>>>>> caiu em eng.registro.br
>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>
>>>>>
>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>
>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>
>>>>>
>>>>
>>>> --
>>>> Felippe Alves Constantino - Diretor Técnico
>>>> Farol Telecom - Pelotas / RS
>>>> Celular: (53) 8402-0786
>>>>
>>>>
>>>
>>>
>>
>> --
>> Sds.
>>
>> Alexandre Jeronimo Correa
>> Onda Internet
>> Office: +55 34 3351 3077
>> www.onda.net.br
>>
>> _______________________________________________
>> caiu mailing list
>> caiu em eng.registro.br
>> https://eng.registro.br/mailman/listinfo/caiu
>>
>>
>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>
>> https://eng.registro.br/mailman/options/caiu
>>
>
>
>
> --
> Felippe Alves Constantino - Diretor Técnico
> Farol Telecom - Pelotas / RS
> Celular: (53) 8402-0786
>
--
Felippe Alves Constantino - Diretor Técnico
Farol Telecom - Pelotas / RS
Celular: (53) 8402-0786
Mais detalhes sobre a lista de discussão caiu