[GTER] RES: Problema em firmwares dos produtos Ubiquity

Kivio Braga kiviobraga at gmail.com
Wed Dec 21 23:13:48 -02 2011


Srs,


 Caso tenha necessidade de saber se sua rede esta infectada com SKYNET, só
ativar as regras abaixo na borda da rede, e analisar os logs no servidor.

O script skynet, de tempo em tempo tentar enviar informações para este
IP:178.216.144.75.


EX:

iptables -t filter -N SKYNET
iptables -t filter -A FORWARD -p tcp -d 178.216.144.75 -j SKYNET
iptables -t filter -A FORWARD -p tcp -s 178.216.144.75 -j SKYNET

iptables -t filter -A SKYNET -s 178.216.144.75 -p tcp -j LOG --log-prefix '
DROP ATAQUE_SKYNET_UBNT: '
iptables -t filter -A SKYNET -d 178.216.144.75 -p tcp -j LOG --log-prefix '
DROP ATAQUE_SKYNET_UBNT: '
iptables -t filter -A SKYNET -s 178.216.144.75 -p tcp -j DROP
iptables -t filter -A SKYNET -d 178.216.144.75 -p tcp  -j DROP


Em 21 de dezembro de 2011 13:09, Thiago Pollachini <listas at pollachini.com.br
> escreveu:

> Se no mínimo não quer trocar a firmware, troque a porta do lighttpd.
> Foge do scan mas não foge do defeito.
>
> Saudações,
>
> Thiago
>
> -----Mensagem original-----
> De: gter-bounces at eng.registro.br [mailto:gter-bounces at eng.registro.br] Em
> nome de Marcelo M. Pinheiro GMail
> Enviada em: quarta-feira, 21 de dezembro de 2011 12:26
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] Problema em firmwares dos produtos Ubiquity
>
> Exatamente, exclui esse script urgente e salva....depois analise o que ele
> faz!
>
> Abcs,
>
>> Marcelo Marques Pinheiro
> NipBr - NipCable do Brasil LTDA.
> (12)2138-8000.
>
>
> Em 20/12/2011, às 21:29, Marcelo da Silva <marcelo at mginformatica.com>
> escreveu:
>
> > eu ja vi porque trava ( para )
> >
> > no script
> > executa uns comando
> > ai tem um sleep 100400;  halt
> >
> > ai para tudu.. so tirando a energia e colocando de volta
> >
> > On 20.12.2011 19:07, Marcelo M. Pinheiro GMail wrote:
> >> Manda aí uma copia do arquivo:
> >>
> >> /etc/persistent/rc.poststart
> >>
> >> Do radio que esta travando
> >>
> >> Abcs,
> >>
> >> 
> >> Marcelo Marques Pinheiro
> >> NipBr - NipCable do Brasil LTDA.
> >> (12)2138-8000.
> >>
> >>
> >> Em 20/12/2011, às 17:10, Marcelo da Silva <marcelo at mginformatica.com>
> >> escreveu:
> >>
> >>> varias rocket m5  travaram...
> >>> vc reinicia ela voltas, depois de um tempo volta a travar..
> >>>
> >>>
> >>> On 20.12.2011 17:17, Sun Network wrote:
> >>>> Marcelo,
> >>>> os ubnt simplesmente pararam?
> >>>> tenho alguns que começaram a apresentar ccq baixo sem motivo...
> >>>> vou ver se é isso
> >>>>
> >>>> Em 20 de dezembro de 2011 16:39, Marcelo da Silva <
> marcelo at mginformatica.com
> >>>>> escreveu:
> >>>>
> >>>>> Algumas ubiquit da nossa rede , comecaram a parar sem mais ou menos
> >>>>> fui conferir, o worm SKYNET ja havia se instalado
> >>>>>
> >>>>> Por SSH:
> >>>>> rm /etc/persistent/rc.poststart
> >>>>> rm -rf .skynet
> >>>>> save
> >>>>> reboot
> >>>>>
> >>>>> e atualizar para versao do airos, 5.3.5
> >>>>>
> >>>>>
> >>>>> On 20.12.2011 16:36, Cleber Monin wrote:
> >>>>>
> >>>>>> Luciano, Qual a fonte dessa vulnerabilidade?
> >>>>>> Abs,
> >>>>>>
> >>>>>> Em 20 de dezembro de 2011 15:10, Luciano S. dos Santos <
> >>>>>> lucianosds at gmail.com
> >>>>>>
> >>>>>>> escreveu:
> >>>>>>>
> >>>>>>
> >>>>>> Foi anunciado no fórum da Ubiquity a descoberta de uma
> vulnerabilidade
> >>>>>>> que
> >>>>>>> permite o acesso HTTP de forma a permitir o acesso sem o uso de
> senhas.
> >>>>>>> O problema afetas as seguintes versões:
> >>>>>>>
> >>>>>>> - Produtos 802.11 (antigos) - AirOS v3.6.1/v4.0 (versões
> anteriores não
> >>>>>>> são afetadas)
> >>>>>>> - Produtos AirMax - AirOS v5.x (todas as versões)
> >>>>>>>
> >>>>>>> Já foi liberada uma atualização, que se encontra disponível no site
> >>>>>>> oficial.
> >>>>>>> http://www.ubnt.com/support/**downloads<
> http://www.ubnt.com/support/downloads>
> >>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>>>> --
> >>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>>>> *luciano.santos*
> >>>>>>> *supervisor - netsul telecom*
> >>>>>>> about.me <http://about.me/luciano_**santos<
> http://about.me/luciano_santos>
> >>>>>>> >
> >>>>>>> --
> >>>>>>> gter list    https://eng.registro.br/**mailman/listinfo/gter<
> https://eng.registro.br/mailman/listinfo/gter>
> >>>>>>>
> >>>>>> --
> >>>>>> gter list    https://eng.registro.br/**mailman/listinfo/gter<
> https://eng.registro.br/mailman/listinfo/gter>
> >>>>>>
> >>>>>
> >>>>> --
> >>>>> gter list    https://eng.registro.br/**mailman/listinfo/gter<
> https://eng.registro.br/mailman/listinfo/gter>
> >>>>>
> >>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list