[caiu] Virus UBNT
Alexandre J. Correa (Onda)
alexandre em onda.net.br
Dom Maio 15 16:24:38 BRT 2016
http://pastebin.com/aNA1Usyn
Em 15/05/2016 15:39, Felippe Alves Constantino escreveu:
> Qual teu script que já faz o upgrade Alexandre?
>
> Att.
>
> Em 15 de maio de 2016 15:38, Felippe Alves Constantino <
> fconstantino at gmail.com> escreveu:
>
>> Sim, já estou atualizando os que não estão. Obrigado pela lembrança!
>>
>> Att.
>>
>> Em 15 de maio de 2016 15:34, Alexandre J. Correa (Onda) <
>> alexandre at onda.net.br> escreveu:
>>
>>> Felipe.. atualize os radios para a versao 5.6.4 !!
>>>
>>> Senão infecta novamente...
>>>
>>>
>>>
>>> Em 15/05/2016 15:28, Felippe Alves Constantino escreveu:
>>>
>>>> Deu certo, rodei o script e reiniciei o equipamento e voltou ao normal.
>>>> Obrigado! Se alguém precisar, coloquei o arquivo em:
>>>> http://www.faroltelecom.com.br/desinfect.sh
>>>>
>>>> Em 15 de maio de 2016 15:15, Felippe Alves Constantino <
>>>> fconstantino at gmail.com> escreveu:
>>>>
>>>> Ele não reseta o equipamento né? Somente remove o vírus?
>>>>> Att.
>>>>>
>>>>> Em 15 de maio de 2016 15:12, Diego Canton de Brito <
>>>>> diegocanton at ensite.com.br> escreveu:
>>>>>
>>>>> Copie o código, coloque em um WEB seu e mude o link no script.
>>>>>> Aqui eu rodei no servidor, depois enviei tudo para o GIT para o pessoal
>>>>>> ter um exemplo de como fiz, não sabia que o wget do firmware não tinha
>>>>>> suporte a https :/
>>>>>>
>>>>>> ---
>>>>>>
>>>>>> Em 2016-05-15 15:02, Felippe Alves Constantino escreveu:
>>>>>>
>>>>>> Recebo esse seguinte erro:
>>>>>>> XM.v5.5.10# wget -qO-
>>>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_
>>>>>>> mf/master/desinfect.sh | sh
>>>>>>> wget: not an http or ftp url:
>>>>>>>
>>>>>>>
>>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>>>>
>>>>>>> XM.v5.5.10#
>>>>>>>
>>>>>>> Att.
>>>>>>>
>>>>>>> Em 15 de maio de 2016 14:44, Diego Canton de Brito <
>>>>>>> diegocanton at ensite.com.br> escreveu:
>>>>>>>
>>>>>>> Pessoal, também postaram no fórum um APK para android que promete
>>>>>>> fazer
>>>>>>> o mesmo, parece ter sido desenvolvido por um membro (VLAD) do fórum
>>>>>>> UBNT, o código esta no GITHUB e acaba de ser anunciado no GooglePlay,
>>>>>>> ELE NÃO É OFICIAL, mas facilita, NÃO TESTEI.
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>> https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval
>>>>>>
>>>>>>> ---
>>>>>>>
>>>>>>> Em 2016-05-15 14:37, Felippe Alves Constantino escreveu:
>>>>>>>
>>>>>>> Diego,
>>>>>>>
>>>>>>> Esse script "wget -qO-
>>>>>>>
>>>>>>>
>>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>>>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>>>>>> vírus?
>>>>>>
>>>>>>> Att.
>>>>>>>
>>>>>>> Em 15 de maio de 2016 14:33, Gabriel Fernandes Galvao <
>>>>>>> gabriel at fasttelecom.net.br> escreveu:
>>>>>>>
>>>>>>> Fixo e lan
>>>>>>>
>>>>>>> Em 15/05/2016 14:26, Ronan Ramos escreveu:
>>>>>>>
>>>>>>> Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos tb???
>>>>>>> Ronan
>>>>>>>
>>>>>>> -----Mensagem Original-----
>>>>>>> De: "Felippe Alves Constantino" <fconstantino at gmail.com>
>>>>>>> Enviada em: 15/05/2016 14:12
>>>>>>> Para: "Lista das indisponibilidades da Internet brasileira" <
>>>>>>> caiu at eng.registro.br>
>>>>>>> Assunto: Re: [caiu] Virus UBNT
>>>>>>>
>>>>>>> Boa tarde!
>>>>>>>
>>>>>>> Esse script "wget -qO-
>>>>>>>
>>>>>>>
>>>>>>>
>>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>>>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>>>>>>
>>>>>>> vírus?
>>>>>>>
>>>>>>> Att.
>>>>>>>
>>>>>>> Em 15 de maio de 2016 14:08, José Nilton <jn at linkcariri.com>
>>>>>>> escreveu:
>>>>>>>
>>>>>>> Boa tarde alguém ja identificou por qual porta esta vindo esse vírus e
>>>>>>>
>>>>>> ip ?
>>>>>>
>>>>>>> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
>>>>>>> diegocanton at ensite.com.br> escreveu:
>>>>>>>
>>>>>>> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor,
>>>>>>>
>>>>>> por xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está
>>>>>> sendo
>>>>>>
>>>>>>> filtrada no comando, removido todos os demais dados e apresentado
>>>>>>> apenas
>>>>>>> os
>>>>>>>
>>>>>>> IPs possivelmente infectados, pois não são válidos e comuns as
>>>>>>> consultas
>>>>>>> pelo domínio "." (Domínio Ponto)
>>>>>>> Como disse quando postei o comando, ele deve ser executado em seu
>>>>>>> servidor
>>>>>>>
>>>>>>> DNS.
>>>>>>> --
>>>>>>> Enviado do aplicativo myMail para Android domingo, 15 maio 2016,
>>>>>>> 01:52PM
>>>>>>> -03:00 de Andrio Prestes Jasper < mascaraapj at gmail.com> :
>>>>>>>
>>>>>>> Esses ips são da sua rede? provavelmente estão infectados.
>>>>>>> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 at gmail.com >
>>>>>>> escreveu:
>>>>>>>
>>>>>>> Senhores, Executei o comando aqui nos servidores DNS, o que tem de
>>>>>>>
>>>>>> retorno, é apenas
>>>>>>
>>>>>>> IPs, um abaixo do outro.
>>>>>>>
>>>>>>> Isso significa que esta limpo??
>>>>>>>
>>>>>>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
>>>>>>>
>>>>>> mascaraapj at gmail.com >
>>>>>>
>>>>>> escreveu:
>>>>>>> meu caro, caso tenha acompanhado... não importa a complexidade
>>>>>>>> dasenha,
>>>>>>>>
>>>>>>> o
>>>>>>> virus consegue entrar assim mesmo, pois a falha que ele explora não
>>>>>>> precisa
>>>>>>>
>>>>>>> de autenticação.
>>>>>>>
>>>>>>> Eu também achei que não tinha problema.
>>>>>>> Até rodar o comando abaixo no servidor DNS, foi quando descobri
>>>>>>> alguns
>>>>>>> clientes infectados mas que ainda não tinha dado problema.
>>>>>>> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
>>>>>>> cut
>>>>>>> -f5-8 -d "." | cut -f3 -d " "
>>>>>>> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual at gmail.com
>>>>>>> escreveu:
>>>>>>>
>>>>>>> Eu tenho que admirar viu. A culpa desse caos são dos descuidadosdonos
>>>>>>> de
>>>>>>> provedores de meia boca que cometem a gafe de deixar seusequipamentos
>>>>>>> na
>>>>>>> porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.). Venho
>>>>>>>
>>>>>> acompanhando isso em forum polones a varios meses que falam
>>>>>>
>>>>>> de
>>>>>>> coisas
>>>>>>> localizadas no leste Europeu, assim como um famoso rootkit que se
>>>>>>> camufla
>>>>>>> nos equipamentos MK (alguem se lembra dos cracks do autocad quemandava
>>>>>>> arquivos para a China?).
>>>>>>> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>>>>>>>
>>>>>>> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
>>>>>>> 5.64.
>>>>>>> Não
>>>>>>> tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
>>>>>>> não
>>>>>>> permitir trocar o usuario master (tem que ser ubnt). Consegui somente
>>>>>>> via
>>>>>>> Cli.
>>>>>>> Quanto ao EdgeRouter vai pelo mesmo rumo.
>>>>>>>
>>>>>>> Demais coisas beijos e abraços e boa sorte, ja que aprender a
>>>>>>> lingua
>>>>>>> inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha
>>>>>>> - _______________________________________________
>>>>>>> caiu mailing list
>>>>>>> caiu at eng.registro.br
>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>>
>>>>>>> --
>>>>>>> Andrio Prestes Jasper
>>>>>>> Celular: (65) 9320-3170 / 8444 0040
>>>>>>> _______________________________________________
>>>>>>> caiu mailing list
>>>>>>> caiu at eng.registro.br
>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>>
>>>>>> --
>>>>>>
>>>>>> Att.
>>>>>> Felipe L Gobetti
>>>>>> fel3456 at gmail.com
>>>>>> (44) 9829 6093
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu at eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>
>>>>>> --
>>>>>> Andrio Prestes Jasper
>>>>>> Celular: (65) 9320-3170 / 8444 0040
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu at eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu at eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>
>>>>>> -- José Nilton
>>>>>> Telefone : ( 88 ) 9612 - 0564
>>>>>> Skype : jn at linkcariri.com
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu at eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu at eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu at eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>
>>>>>>
>>>>>> _______________________________________________
>>>>>> caiu mailing list
>>>>>> caiu at eng.registro.br
>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>
>>>>>>
>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>
>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>
>>>>>>
>>>>> --
>>>>> Felippe Alves Constantino - Diretor Técnico
>>>>> Farol Telecom - Pelotas / RS
>>>>> Celular: (53) 8402-0786
>>>>>
>>>>>
>>>>
>>> --
>>> Sds.
>>>
>>> Alexandre Jeronimo Correa
>>> Onda Internet
>>> Office: +55 34 3351 3077
>>> www.onda.net.br
>>>
>>> _______________________________________________
>>> caiu mailing list
>>> caiu at eng.registro.br
>>> https://eng.registro.br/mailman/listinfo/caiu
>>>
>>>
>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>
>>> https://eng.registro.br/mailman/options/caiu
>>>
>>
>>
>> --
>> Felippe Alves Constantino - Diretor Técnico
>> Farol Telecom - Pelotas / RS
>> Celular: (53) 8402-0786
>>
>
>
--
Sds.
Alexandre Jeronimo Correa
Onda Internet
Office: +55 34 3351 3077
www.onda.net.br
Mais detalhes sobre a lista de discussão caiu