[caiu] Virus UBNT
Andrio Prestes Jasper
mascaraapj em gmail.com
Dom Maio 15 17:54:09 BRT 2016
Aparentemente a UBNT acabou de lançar o firmware 5.6.5
também lançou uma ferramenta para remover o virus.
Em 15 de maio de 2016 15:24, Alexandre J. Correa (Onda) <
alexandre em onda.net.br> escreveu:
> http://pastebin.com/aNA1Usyn
>
>
>
>
> Em 15/05/2016 15:39, Felippe Alves Constantino escreveu:
>
>> Qual teu script que já faz o upgrade Alexandre?
>>
>> Att.
>>
>> Em 15 de maio de 2016 15:38, Felippe Alves Constantino <
>> fconstantino em gmail.com> escreveu:
>>
>> Sim, já estou atualizando os que não estão. Obrigado pela lembrança!
>>>
>>> Att.
>>>
>>> Em 15 de maio de 2016 15:34, Alexandre J. Correa (Onda) <
>>> alexandre em onda.net.br> escreveu:
>>>
>>> Felipe.. atualize os radios para a versao 5.6.4 !!
>>>>
>>>> Senão infecta novamente...
>>>>
>>>>
>>>>
>>>> Em 15/05/2016 15:28, Felippe Alves Constantino escreveu:
>>>>
>>>> Deu certo, rodei o script e reiniciei o equipamento e voltou ao normal.
>>>>> Obrigado! Se alguém precisar, coloquei o arquivo em:
>>>>> http://www.faroltelecom.com.br/desinfect.sh
>>>>>
>>>>> Em 15 de maio de 2016 15:15, Felippe Alves Constantino <
>>>>> fconstantino em gmail.com> escreveu:
>>>>>
>>>>> Ele não reseta o equipamento né? Somente remove o vírus?
>>>>>
>>>>>> Att.
>>>>>>
>>>>>> Em 15 de maio de 2016 15:12, Diego Canton de Brito <
>>>>>> diegocanton em ensite.com.br> escreveu:
>>>>>>
>>>>>> Copie o código, coloque em um WEB seu e mude o link no script.
>>>>>>
>>>>>>> Aqui eu rodei no servidor, depois enviei tudo para o GIT para o
>>>>>>> pessoal
>>>>>>> ter um exemplo de como fiz, não sabia que o wget do firmware não
>>>>>>> tinha
>>>>>>> suporte a https :/
>>>>>>>
>>>>>>> ---
>>>>>>>
>>>>>>> Em 2016-05-15 15:02, Felippe Alves Constantino escreveu:
>>>>>>>
>>>>>>> Recebo esse seguinte erro:
>>>>>>>
>>>>>>>> XM.v5.5.10# wget -qO-
>>>>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_
>>>>>>>> mf/master/desinfect.sh | sh
>>>>>>>> wget: not an http or ftp url:
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>>>>>
>>>>>>> XM.v5.5.10#
>>>>>>>>
>>>>>>>> Att.
>>>>>>>>
>>>>>>>> Em 15 de maio de 2016 14:44, Diego Canton de Brito <
>>>>>>>> diegocanton em ensite.com.br> escreveu:
>>>>>>>>
>>>>>>>> Pessoal, também postaram no fórum um APK para android que promete
>>>>>>>> fazer
>>>>>>>> o mesmo, parece ter sido desenvolvido por um membro (VLAD) do fórum
>>>>>>>> UBNT, o código esta no GITHUB e acaba de ser anunciado no
>>>>>>>> GooglePlay,
>>>>>>>> ELE NÃO É OFICIAL, mas facilita, NÃO TESTEI.
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>> https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval
>>>>>>>
>>>>>>> ---
>>>>>>>>
>>>>>>>> Em 2016-05-15 14:37, Felippe Alves Constantino escreveu:
>>>>>>>>
>>>>>>>> Diego,
>>>>>>>>
>>>>>>>> Esse script "wget -qO-
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>>>>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>>>>>>> vírus?
>>>>>>>
>>>>>>> Att.
>>>>>>>>
>>>>>>>> Em 15 de maio de 2016 14:33, Gabriel Fernandes Galvao <
>>>>>>>> gabriel em fasttelecom.net.br> escreveu:
>>>>>>>>
>>>>>>>> Fixo e lan
>>>>>>>>
>>>>>>>> Em 15/05/2016 14:26, Ronan Ramos escreveu:
>>>>>>>>
>>>>>>>> Esse malware infecta radios com ip wan fixo? Ou ip lan inválidos
>>>>>>>> tb???
>>>>>>>> Ronan
>>>>>>>>
>>>>>>>> -----Mensagem Original-----
>>>>>>>> De: "Felippe Alves Constantino" <fconstantino em gmail.com>
>>>>>>>> Enviada em: 15/05/2016 14:12
>>>>>>>> Para: "Lista das indisponibilidades da Internet brasileira" <
>>>>>>>> caiu em eng.registro.br>
>>>>>>>> Assunto: Re: [caiu] Virus UBNT
>>>>>>>>
>>>>>>>> Boa tarde!
>>>>>>>>
>>>>>>>> Esse script "wget -qO-
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>>>
>>>>>>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>>>>>>> | sh" reseta o rádio, ou volta continua a configuração que está sem o
>>>>>>>
>>>>>>> vírus?
>>>>>>>>
>>>>>>>> Att.
>>>>>>>>
>>>>>>>> Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com>
>>>>>>>> escreveu:
>>>>>>>>
>>>>>>>> Boa tarde alguém ja identificou por qual porta esta vindo esse
>>>>>>>> vírus e
>>>>>>>>
>>>>>>>> ip ?
>>>>>>>
>>>>>>> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
>>>>>>>> diegocanton em ensite.com.br> escreveu:
>>>>>>>>
>>>>>>>> Sim, a saída será os IPs que estão fazendo consultas DNS ao
>>>>>>>> servidor,
>>>>>>>>
>>>>>>>> por xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta
>>>>>>> está
>>>>>>> sendo
>>>>>>>
>>>>>>> filtrada no comando, removido todos os demais dados e apresentado
>>>>>>>> apenas
>>>>>>>> os
>>>>>>>>
>>>>>>>> IPs possivelmente infectados, pois não são válidos e comuns as
>>>>>>>> consultas
>>>>>>>> pelo domínio "." (Domínio Ponto)
>>>>>>>> Como disse quando postei o comando, ele deve ser executado em seu
>>>>>>>> servidor
>>>>>>>>
>>>>>>>> DNS.
>>>>>>>> --
>>>>>>>> Enviado do aplicativo myMail para Android domingo, 15 maio 2016,
>>>>>>>> 01:52PM
>>>>>>>> -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
>>>>>>>>
>>>>>>>> Esses ips são da sua rede? provavelmente estão infectados.
>>>>>>>> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com
>>>>>>>> >
>>>>>>>> escreveu:
>>>>>>>>
>>>>>>>> Senhores, Executei o comando aqui nos servidores DNS, o que tem de
>>>>>>>>
>>>>>>>> retorno, é apenas
>>>>>>>
>>>>>>> IPs, um abaixo do outro.
>>>>>>>>
>>>>>>>> Isso significa que esta limpo??
>>>>>>>>
>>>>>>>> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
>>>>>>>>
>>>>>>>> mascaraapj em gmail.com >
>>>>>>>
>>>>>>> escreveu:
>>>>>>>
>>>>>>>> meu caro, caso tenha acompanhado... não importa a complexidade
>>>>>>>>
>>>>>>>>> dasenha,
>>>>>>>>>
>>>>>>>>> o
>>>>>>>> virus consegue entrar assim mesmo, pois a falha que ele explora não
>>>>>>>> precisa
>>>>>>>>
>>>>>>>> de autenticação.
>>>>>>>>
>>>>>>>> Eu também achei que não tinha problema.
>>>>>>>> Até rodar o comando abaixo no servidor DNS, foi quando descobri
>>>>>>>> alguns
>>>>>>>> clientes infectados mas que ainda não tinha dado problema.
>>>>>>>> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
>>>>>>>> cut
>>>>>>>> -f5-8 -d "." | cut -f3 -d " "
>>>>>>>> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
>>>>>>>> escreveu:
>>>>>>>>
>>>>>>>> Eu tenho que admirar viu. A culpa desse caos são dos
>>>>>>>> descuidadosdonos
>>>>>>>> de
>>>>>>>> provedores de meia boca que cometem a gafe de deixar
>>>>>>>> seusequipamentos
>>>>>>>> na
>>>>>>>> porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.). Venho
>>>>>>>>
>>>>>>>> acompanhando isso em forum polones a varios meses que falam
>>>>>>>
>>>>>>> de
>>>>>>>
>>>>>>>> coisas
>>>>>>>> localizadas no leste Europeu, assim como um famoso rootkit que se
>>>>>>>> camufla
>>>>>>>> nos equipamentos MK (alguem se lembra dos cracks do autocad
>>>>>>>> quemandava
>>>>>>>> arquivos para a China?).
>>>>>>>> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>>>>>>>>
>>>>>>>> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
>>>>>>>> 5.64.
>>>>>>>> Não
>>>>>>>> tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
>>>>>>>> não
>>>>>>>> permitir trocar o usuario master (tem que ser ubnt). Consegui
>>>>>>>> somente
>>>>>>>> via
>>>>>>>> Cli.
>>>>>>>> Quanto ao EdgeRouter vai pelo mesmo rumo.
>>>>>>>>
>>>>>>>> Demais coisas beijos e abraços e boa sorte, ja que aprender a
>>>>>>>> lingua
>>>>>>>> inglesa é uma obrigatoriedade e ficar alerta mais ainda. ahahahahaha
>>>>>>>> - _______________________________________________
>>>>>>>> caiu mailing list
>>>>>>>> caiu em eng.registro.br
>>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>>
>>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>>
>>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>>>
>>>>>>>> --
>>>>>>>> Andrio Prestes Jasper
>>>>>>>> Celular: (65) 9320-3170 / 8444 0040
>>>>>>>> _______________________________________________
>>>>>>>> caiu mailing list
>>>>>>>> caiu em eng.registro.br
>>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>>
>>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>>
>>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>>>
>>>>>>>> --
>>>>>>>
>>>>>>> Att.
>>>>>>> Felipe L Gobetti
>>>>>>> fel3456 em gmail.com
>>>>>>> (44) 9829 6093
>>>>>>> _______________________________________________
>>>>>>> caiu mailing list
>>>>>>> caiu em eng.registro.br
>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>>
>>>>>>> --
>>>>>>> Andrio Prestes Jasper
>>>>>>> Celular: (65) 9320-3170 / 8444 0040
>>>>>>> _______________________________________________
>>>>>>> caiu mailing list
>>>>>>> caiu em eng.registro.br
>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>> _______________________________________________
>>>>>>> caiu mailing list
>>>>>>> caiu em eng.registro.br
>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>>
>>>>>>> -- José Nilton
>>>>>>> Telefone : ( 88 ) 9612 - 0564
>>>>>>> Skype : jn em linkcariri.com
>>>>>>> _______________________________________________
>>>>>>> caiu mailing list
>>>>>>> caiu em eng.registro.br
>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> caiu mailing list
>>>>>>> caiu em eng.registro.br
>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> caiu mailing list
>>>>>>> caiu em eng.registro.br
>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>>
>>>>>>>
>>>>>>> _______________________________________________
>>>>>>> caiu mailing list
>>>>>>> caiu em eng.registro.br
>>>>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>>>>
>>>>>>>
>>>>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>>>>
>>>>>>> https://eng.registro.br/mailman/options/caiu
>>>>>>>
>>>>>>>
>>>>>>> --
>>>>>> Felippe Alves Constantino - Diretor Técnico
>>>>>> Farol Telecom - Pelotas / RS
>>>>>> Celular: (53) 8402-0786
>>>>>>
>>>>>>
>>>>>>
>>>>> --
>>>> Sds.
>>>>
>>>> Alexandre Jeronimo Correa
>>>> Onda Internet
>>>> Office: +55 34 3351 3077
>>>> www.onda.net.br
>>>>
>>>> _______________________________________________
>>>> caiu mailing list
>>>> caiu em eng.registro.br
>>>> https://eng.registro.br/mailman/listinfo/caiu
>>>>
>>>>
>>>> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>>>>
>>>> https://eng.registro.br/mailman/options/caiu
>>>>
>>>>
>>>
>>> --
>>> Felippe Alves Constantino - Diretor Técnico
>>> Farol Telecom - Pelotas / RS
>>> Celular: (53) 8402-0786
>>>
>>>
>>
>>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Onda Internet
> Office: +55 34 3351 3077
> www.onda.net.br
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
--
Andrio Prestes Jasper
Celular: (65) 9320-3170 / 8444 0040
Mais detalhes sobre a lista de discussão caiu