[caiu] Virus UBNT
Diego Canton de Brito
diegocanton em ensite.com.br
Dom Maio 15 18:46:19 BRT 2016
Pessoal, to melhorando a coisa lá ao poucos.
Alexandre, me passaram uma modificação para preservar quem usa script
personalizado, segue o código.
# Preserve ISP custom scripts Colaboration PVi1 (Git user)
sed -i '/mf\/mother/d' /etc/persistent/rc.poststart
Em 2016-05-15 14:37, Diego Canton de Brito escreveu:
> Ele remove os arquivos do vírus, usuário adicionado pelo vírus, muda a
> porta HTTP para 81 e desativa o HTTPS.
>
> Há outros no GIT que irão atualizar o equipamento para 5.6.4.
>
> Eles são exemplos para que o pessoal possa aplicar suas próprias
> soluções.
>
> Segundo o que entendi no Fórum do assunto, após cerca de 18 horas
> rodando o Vírus reseta o rádio.
>
> Em 2016-05-15 14:11, Felippe Alves Constantino escreveu:
>
>> Boa tarde!
>>
>> Esse script "wget -qO-
>> https://raw.githubusercontent.com/diegocanton/remove_ubnt_mf/master/desinfect.sh
>> | sh" reseta o rádio, ou volta continua a configuração que está sem o vírus?
>>
>> Att.
>>
>> Em 15 de maio de 2016 14:08, José Nilton <jn em linkcariri.com> escreveu:
>>
>> Boa tarde
>> alguém ja identificou por qual porta esta vindo esse vírus e ip ?
>>
>> Em dom, 15 de mai de 2016 às 14:02, Diego Canton de Brito <
>> diegocanton em ensite.com.br> escreveu:
>>
>> Sim, a saída será os IPs que estão fazendo consultas DNS ao servidor, por
>> xxx.xxx.xxx.xxx. que será tratada como nxdomain, essa resposta está sendo
>> filtrada no comando, removido todos os demais dados e apresentado apenas os IPs possivelmente infectados, pois não são válidos e comuns as consultas
>> pelo domínio "." (Domínio Ponto)
>> Como disse quando postei o comando, ele deve ser executado em seu servidor DNS.
>> --
>> Enviado do aplicativo myMail para Android domingo, 15 maio 2016, 01:52PM
>> -03:00 de Andrio Prestes Jasper < mascaraapj em gmail.com> :
>>
>> Esses ips são da sua rede? provavelmente estão infectados.
>>
>> Em 15 de maio de 2016 12:49, Felipe L. Gobetti < fel3456 em gmail.com > escreveu:
>> Senhores,
>> Executei o comando aqui nos servidores DNS, o que tem de retorno, é
> apenas
>
> IPs, um abaixo do outro.
> Isso significa que esta limpo??
>
> Em 15 de maio de 2016 11:47, Andrio Prestes Jasper <
mascaraapj em gmail.com >
> escreveu:
>
> meu caro, caso tenha acompanhado... não importa a complexidade da
senha,
> o virus consegue entrar assim mesmo, pois a falha que ele explora não precisa de autenticação.
>
> Eu também achei que não tinha problema.
> Até rodar o comando abaixo no servidor DNS, foi quando descobri
alguns
> clientes infectados mas que ainda não tinha dado problema.
>
> tcpdump -vvv -n port 53 -i eth0 | grep -i nxdomain | grep "ns: . " |
cut
> -f5-8 -d "." | cut -f3 -d " "
>
> Em 15 de maio de 2016 10:08, VPNVyrtual.Com < vpnvyrtual em gmail.com
> escreveu:
>
> Eu tenho que admirar viu. A culpa desse caos são dos descuidados
donos
> de provedores de meia boca que cometem a gafe de deixar seus
equipamentos
> na porta 80 ou 443 e ainda deixa uma senha fraca (sem @#$, etc.).
> Venho acompanhando isso em forum polones a varios meses que falam
de
> coisas localizadas no leste Europeu, assim como um famoso rootkit que se
camufla
>> nos equipamentos MK (alguem se lembra dos cracks do autocad que
mandava
> arquivos para a China?).
>
> A UBNT vem falando e adicionando regras de segurança ja faz tempo.
>
> Aqui tenho cerca de 80% com firmware proprio e o restante 5.63 e
5.64.
> Não tive o menor problema. Quanto ao EdgeSwitch é uma cagada da UBNT
não
> permitir trocar o usuario master (tem que ser ubnt). Consegui
somente
> via Cli.
>
> Quanto ao EdgeRouter vai pelo mesmo rumo.
>
> Demais coisas beijos e abraços e boa sorte, ja que aprender a
lingua
> inglesa é uma obrigatoriedade e ficar alerta mais ainda.
ahahahahaha
> -
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>
> --
> Andrio Prestes Jasper
> Celular: (65) 9320-3170 / 8444 0040
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
--
Att.
Felipe L Gobetti
fel3456 em gmail.com
(44) 9829 6093
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu
--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
https://eng.registro.br/mailman/options/caiu
--
Andrio Prestes Jasper
Celular: (65) 9320-3170 / 8444 0040
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu
--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
https://eng.registro.br/mailman/options/caiu
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu
--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
https://eng.registro.br/mailman/options/caiu
--
José Nilton
Telefone : ( 88 ) 9612 - 0564
Skype : jn em linkcariri.com
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu
--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
https://eng.registro.br/mailman/options/caiu
_______________________________________________
caiu mailing list
caiu em eng.registro.br
https://eng.registro.br/mailman/listinfo/caiu
--> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
https://eng.registro.br/mailman/options/caiu
Mais detalhes sobre a lista de discussão caiu