[GTER] Script remoção virus UBNT

Alexandre J. Correa (Onda) alexandre at onda.net.br
Sat May 14 14:11:46 -03 2016


Hospede este script em um webserver interno:

#!/bin/sh

/bin/sed -ir '/mcad/ c ' /etc/inittab
/bin/sed -ir '/mcuser/ c ' /etc/passwd
/bin/rm -rf /etc/persistent/mcuser
/bin/rm -rf /etc/persistent/mf.tar
/bin/rm -rf /etc/persistent/.mf
/bin/rm -rf /etc/persistent/rc.poststart
/bin/rm -rf /etc/persistent/rc.prestart
/bin/kill -HUP `/bin/pidof init`
/bin/kill -9 `/bin/pidof mcad`
/bin/kill -9 `/bin/pidof init`
/bin/kill -9 `/bin/pidof search`
/bin/kill -9 `/bin/pidof mother`
/bin/kill -9 `/bin/pidof sleep`
/bin/cfgmtd -w -p /etc/
reboot


e adaptando um script que postaram para fazer o scan na rede, execute o 
script em uma maquina linux que tenha acesso aos ips dos rádios:

#!/bin/bash

pass=$1
user=$2
network=$3
ip=$4

if [ -z "$1" ]; then
         pass=YOURPASS
fi
if [ -z "$2" ]; then
         user=YOURUSER
fi
if [ -z "$3" ]; then
         #Network
         network="10.0.0."
fi
if [ -z "$4" ]; then
         #Initial IP
         ip=1
fi

while [ $ip -lt 255 ]; do
         echo "Verificando $network$ip ..."
         FILE=/etc/persistent/mf.tar
         sshpass -p $pass ssh -o StrictHostKeyChecking=no 
$user@$network$ip "wget -qO- http://seu.servidor.com.br/arquivo.sh | sh"
         ip=`expr $ip + 1`
         echo "......"
done


assim ele vai varrer um range e remover o virus... e tambem remover o 
acesso 'mcuser' utilizado pelo Aircontrol da Ubiquiti...


-- 
Sds.

Alexandre Jeronimo Correa
Onda Internet
Office: +55 34 3351 3077
www.onda.net.br




More information about the gter mailing list