[GTER] RES: Problema em firmwares dos produtos Ubiquity

Kivio Braga kiviobraga at gmail.com
Thu Dec 22 15:04:28 -02 2011


Denilson,


     E só para este IP que ele tenta dispara comunicação. Tive problemas
relacionados com skynet, tive que fazer um script em expect para remover
rc.poststart .skynet e trocar porta http em massa dos ubiquiti.
     Não estava dando conta de retirar manualmente, por que ele se propaga
de um radio para outro muito rápido.




Em 22 de dezembro de 2011 12:25, Denilson Rocha <
denilson_rocha at vertentes.com.br> escreveu:

> De qualquer forma, mesmo que o IP esteja inalcançável, vale como
> diagnóstico de infecção. Mas será só para este IP mesmo que envia alguma
> coisa?
>
> Denilson
>
>
>
> Em Qui, 2011-12-22 às 10:52 -0200, Alexandre J. Correa - Onda Internet
> escreveu:
>
> > Provavelmente a operadora ja colocou blackhole no ip..
> >
> > Disparando 178.216.144.75 com 32 bytes de dados:
> > Resposta de 78.156.128.102: A vida útil (TTL) expirou em trânsito.
> > Resposta de 78.156.128.101: A vida útil (TTL) expirou em trânsito.
> > Resposta de 78.156.128.102: A vida útil (TTL) expirou em trânsito.
> > Resposta de 78.156.128.102: A vida útil (TTL) expirou em trânsito.
> >
> >
> >
> > Em 21/12/2011 23:13, Kivio Braga escreveu:
> > > Srs,
> > >
> > >
> > >   Caso tenha necessidade de saber se sua rede esta infectada com
> SKYNET, só
> > > ativar as regras abaixo na borda da rede, e analisar os logs no
> servidor.
> > >
> > > O script skynet, de tempo em tempo tentar enviar informações para este
> > > IP:178.216.144.75.
> > >
> > >
> > > EX:
> > >
> > > iptables -t filter -N SKYNET
> > > iptables -t filter -A FORWARD -p tcp -d 178.216.144.75 -j SKYNET
> > > iptables -t filter -A FORWARD -p tcp -s 178.216.144.75 -j SKYNET
> > >
> > > iptables -t filter -A SKYNET -s 178.216.144.75 -p tcp -j LOG
> --log-prefix '
> > > DROP ATAQUE_SKYNET_UBNT: '
> > > iptables -t filter -A SKYNET -d 178.216.144.75 -p tcp -j LOG
> --log-prefix '
> > > DROP ATAQUE_SKYNET_UBNT: '
> > > iptables -t filter -A SKYNET -s 178.216.144.75 -p tcp -j DROP
> > > iptables -t filter -A SKYNET -d 178.216.144.75 -p tcp  -j DROP
> > >
> > >
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list