[GTER] RES: Ubiquiti Virus! NOVO!

Flavio Rescia Dias flavioresciadias at gmail.com
Sat May 14 12:32:39 -03 2016


Segue script para não perder as configurações e não atualizar o firmware:

++++++++++++++++++++++++++++++++++
rm -fR *mf*
rm -fR .mf*
sed -i 's/sshd.port=22/sshd.port=222/g' /tmp/system.cfg
echo httpd.port=81 >> /tmp/system.cfg
cfgmtd -w -p /etc/
cfgmtd -f /tmp/system.cfg -w
reboot
++++++++++++++++++++++++++++++++++




Remove os arquivos um pouco mais de detalhe sobre o que ele faz e como
fazer:
++++++++++++++++++++++++++++++++++
O procedimento para remover é simples, mas é necessário acessar o rádio:

   - Acesse o rádio via SSH
   - Apague os arquivo do vírus
      - rm -fR *mf*
      - rm -fR .mf*
   - Troque a porta do SSH para 221
      - sed -i 's/sshd.port=22/sshd.port=221/g' /tmp/system.cfg
   - Troque a porta e do HTTP para 801:
      - echo httpd.port=801 >> /tmp/system.cfg
   - salve a configuração
      - cfgmtd -w -p /etc/
      - cfgmtd -f /tmp/system.cfg -w
   - Reinicie
      - reboot

++++++++++++++++++++++++++++++++++

Coloquei para rodar pelo aircontrol.


O ideal é atualizar firmware, mas talvez isso não seja simples para você.

--
Flávio Rescia Dias

Em 14 de maio de 2016 12:00, <gter-request at eng.registro.br> escreveu:

> Send gter mailing list submissions to
>         gter at eng.registro.br
>
> To subscribe or unsubscribe via the World Wide Web, visit
>         https://eng.registro.br/mailman/listinfo/gter
> or, via email, send a message with subject or body 'help' to
>         gter-request at eng.registro.br
>
> You can reach the person managing the list at
>         gter-owner at eng.registro.br
>
> When replying, please edit your Subject line so it is more specific
> than "Re: Contents of gter digest..."
>
>
> Today's Topics:
>
>    1. Re: Freeradius centralizado e local simultaneamente.
>       (edson santos oliveira)
>    2. Re: RES:  Ubiquiti Virus! NOVO!
>       (Alexandre Martini - Tecwave Telecom)
>    3. Re: RES: Ubiquiti Virus! NOVO! (Wagner Furquim)
>    4. Re: RES: Ubiquiti Virus! NOVO! (Robson mendes de souza)
>
>
> ----------------------------------------------------------------------
>
> Message: 1
> Date: Sat, 14 May 2016 02:02:58 -0300
> From: edson santos oliveira <lenkard at gmail.com>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
>         <gter at eng.registro.br>
> Subject: Re: [GTER] Freeradius centralizado e local simultaneamente.
> Message-ID:
>         <
> CAGg1XREHyPNWqMz9k031OVRMP++i5mcRDH8PVCzLFfvFds336A at mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8
>
> Normal, s? voc? usar vhost, pode ter v?rios radius em um s?.
> Eu por exemplo fa?o hotspot para hot?is, uso um banco por cliente, tudo no
> mesmo radius, ? como se meu radius fosse 30 servidores em um s?. Algo
> semelhante como o Apache faz com Vhost.
>
> Em 13 de maio de 2016 17:22, Marcos Tp <markinn at gmail.com> escreveu:
>
> > Caros ,
> > ? poss?vel que um mesmo freeradius aceite requisi??es pppoe com
> > ippool(centralizado) do freeradius paraalguns concentradores e aceite
> > conex?es de outros concentradores com pool local ?
> >
> > Atc
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> ------------------------------
>
> Message: 2
> Date: Sat, 14 May 2016 06:24:07 -0300
> From: Alexandre Martini - Tecwave Telecom <tecwave at tecwave.com.br>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
>         <gter at eng.registro.br>
> Subject: Re: [GTER] RES:  Ubiquiti Virus! NOVO!
> Message-ID: <c4baad9e79fc4ebea48155965a7fde59 at tecwave.com.br>
> Content-Type: text/plain; charset=UTF-8; format=flowed
>
> Bom dia
>
> Resetando para as configura??es default, atualizando o firmware e
> mudando a senha, resolver? o problema? Aqui tivemos todos Access Points
> resetados esta madrugada, especificamente 5 para a meia noite.
> --
>
> []s
> Alexandre Martini
>
>
>
> ------------------------------
>
> Message: 3
> Date: Sat, 14 May 2016 08:34:07 -0300
> From: Wagner Furquim <wagnerfurquim at gmail.com>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
>         <gter at eng.registro.br>
> Cc: suporte at lbr.com.br
> Subject: Re: [GTER] RES: Ubiquiti Virus! NOVO!
> Message-ID:
>         <CAFty_meR7DyRBCc7wn4eFTJ-mL5b7Q9jJ=uGW-f5S3dts7kk=
> Q at mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8
>
> Diego,
>
>  sabe se a vers?o 5.6.4 est? imune a esses v?rus?
>
>
>  Qualquer d?vida estou a disposi??o,
>
>
>  Obrigado,
>  *ASSIM - Internet do seu jeito.* <http://www.assim.net/>
>  Wagner A. Furquim Jr
>
>  Contato: +55 18 98121.4415
>  Skype: *wagner_furquim*
>  e-mail: wagner at assim.net
>  www.assim.net
>
> *Avenida 9 de Julho, 570 - Centro - CEP 19.360-000 - Santo Anast?cio/SP
> - www.assim.net <http://www.assim.net/> - SAC: 0800 887 1610.*
> Esta mensagem, incluindo seus anexos, pode conter informa??o confidencial
> e/ou privilegiada. Se voc? recebeu este e-mail por engano, n?o utilize,
> copie ou divulgue as informa??es nele contidas. Por favor, avise
> imediatamente o remetente, respondendo ao e-mail, e em seguida apague-o.
> Caso necessite de atendimento imediato, recomendamos utilizar um dos canais
> dispon?veis: www.assim.net ou telefone 0800 887 1610. Agradecemos sua
> colabora??o.
>
> Somente imprimir essa mensagem se realmente houver necessidade. Pense no
> seu compromisso com o meio ambiente.
>
> Em 14 de maio de 2016 01:19, Diego Canton de Brito <
> diegocanton at ensite.com.br> escreveu:
>
> > Pessoal, tive equipamentos que foram v?timas do v?rus.
> >
> > Estou disponibilizando alguns scripts simples que estou usando para
> limpar.
> >
> > Aten??o: Este script ir? alterar a porta HTTP dos equipamentos para 81
> >
> > https://github.com/diegocanton/remove_ubnt_mf/blob/master/clearmf.sh
> >
> > Espero que isso ajude quem mais tiver problemas.
> >
> > Meus DNS est?o loucos aqui tamb?m Eduardo.
> >
> > Ah, peguei a origem que est? atacando os equipamentos com TCPDUMP, estou
> > notificando o cliente :/
> >
> > Att,
> >
> >
> > -----Mensagem original-----
> > De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Leonardo da
> > Silva Fiuza Pina
> > Enviada em: sexta-feira, 13 de maio de 2016 17:28
> > Para: gter at eng.registro.br
> > Assunto: Re: [GTER] Ubiquiti Virus! NOVO!
> >
> > OK.
> >
> > Mais interessante saber qual ser? a rea??o da Ubiquiti, uma vez que
> > vulnerabilidades parecem ser o padr?o da ind?stria.
> >
> > Cordial cumprimento.
> >
> > On 05/13/2016 16:44, Alexandre Pires Avilla [Dominioz Telecom] wrote:
> > > ??????????????? lel?!!!!!!!
> > >
> > > Clap! Clap! Clap!
> > > Parab?ns a todos os envolvidos!
> > >
> > > http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-UR
> > > GENT-UBNT/td-p/1562940
> > >
> > >
> > >
> > > Atenciosamente,
> > >
> > > Alexandre Pires Avilla
> > > Gerente de Tecnologia e Redes
> > > Dominioz Servi?os de Telecomunica??es Ltda
> > >
> > > TargetNet - Banda Larga - www.targetnet.com.br Vale Link - Acesso
> > > Dedicado - www.valelink.com.br Dominioz - Hospedagem de sites -
> > > www.dominioz.com.br
> > >
> > > Av. Dr. Jorge Tibiri?a, 105 - Centro
> > > Pindamonhangaba/SP
> > > Central de Atendimento:
> > > Pindamonhangaba [12] 3645.4975
> > > Outras Localidades 0800.940.4975
> > > Mobile: [12] 99745.9679
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > > !DSPAM:1,57362fb731604978874208!
> > >
> > >
> >
> > --
> >
> >
> > ---
> > This email has been checked for viruses by Avast antivirus software.
> > https://www.avast.com/antivirus
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
>
>
> ------------------------------
>
> Message: 4
> Date: Sat, 14 May 2016 09:28:44 -0300
> From: Robson mendes de souza <robsonzmendes at gmail.com>
> To: Grupo de Trabalho de Engenharia e Operacao de Redes
>         <gter at eng.registro.br>
> Subject: Re: [GTER] RES: Ubiquiti Virus! NOVO!
> Message-ID:
>         <CAFxccmzb02WimDuh0H+a=
> HJSRXQTi4bfmVWt8GUMrOHkpdjFqw at mail.gmail.com>
> Content-Type: text/plain; charset=UTF-8
>
> Estavam com senha padr?o?
> Em 14 de mai de 2016 9:17 AM, "Alexandre Martini - Tecwave Telecom" <
> tecwave at tecwave.com.br> escreveu:
>
> > Bom dia
> >
> > Resetando para as configura??es default, atualizando o firmware e mudando
> > a senha, resolver? o problema? Aqui tivemos todos Access Points resetados
> > esta madrugada, especificamente 5 para a meia noite.
> > --
> >
> > []s
> > Alexandre Martini
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> ------------------------------
>
> Subject: Digest Footer
>
> --
> gter digest list    https://eng.registro.br/mailman/listinfo/gter
>
> ------------------------------
>
> End of gter Digest, Vol 158, Issue 39
> *************************************
>



More information about the gter mailing list