[GTER] RES: RES: Script remoção virus UBNT - ** remove e atualiza **

Diego Canton de Brito diegocanton at ensite.com.br
Wed May 18 17:43:24 -03 2016


Gabriel, de uma olhada em https://github.com/diegocanton/remove_ubnt_mf

O pessoal já realizou essa melhoria ontem, feita pelo Joshua (Zanix), incluindo uma opção de LOG, assim o pessoal pode verificar de até o IP que ele quiser no /24 e ter uma saída em LOG.

Sintam-se livres para contribuir  :D

Att,


-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Gabriel Siena
Enviada em: quarta-feira, 18 de maio de 2016 14:12
Para: Lista GTER
Assunto: Re: [GTER] RES: Script remoção virus UBNT - ** remove e atualiza **

Pessoal, uma sugestão, seria possível implantar nos scripts a verificação de IPS com final 0 e 255 , muitos provedores que utilizam autenticação PPPoE nos clientes utiliza esses IPS, inclusive nós aqui , rs.
Em 18 de mai de 2016 11:26 AM, "Elizandro Pacheco [ Pacheco Tecnologia ]" < elizandro at pachecotecnologia.net> escreveu:


Eu estou utilizando um scanner que fiz em python e que aceita blocos de qualquer tamanho, quem quiser ver:

https://github.com/elizandropacheco/ubntcleanermf

Se o alexandre permitir, posso portar o script pra python e organizar melhor.. com funções de log, etc…


Um abraço,

Elizandro Pacheco


> Em 17 de mai de 2016, à(s) 07:48, Fernando Amatte <famatte at gmail.com>
escreveu:
>
> Senhores, bom dia.
>
> Alguem teria copia do malware em questao  para analise ?
>
> Abraços
>
> Fernando Amatte
>
> 2016-05-16 20:10 GMT-03:00 Tiago Furbeta <tfurbeta at cangere.com.br>:
>
>> aproveitando o gancho, Alexandre é um cara que está sempre alerta e 
>> prestativo, profissional altamente gabaritado com vasta experiência 
>> nas mais diversas áreas. obrigado pelas suas valiosas contribuições.
>>
>> abraço
>>
>> Em 16 de maio de 2016 15:37, Rogerio Alves 
>> <rogerioapedroso at gmail.com>
>> escreveu:
>>
>>> Venho aqui agradecer ao Alexandre J. Correa, pois graças ao esforço  
>>> e inteligência dele, estou conseguindo dar uma organizada na bagunça 
>>> que a UBNT fez e não conseguiu ao menos fazer uma ferramenta que preste!
>>>
>>> Att. Rogerio Alves
>>>
>>> Em 16 de maio de 2016 14:15, Gabriel Mineiro <mineiro at tca.com.br>
>>> escreveu:
>>>
>>>> Ninguém está limpando a pasta /var/tmp/upload? A menos não vi nos
>> scripts
>>>> sugeridos. O aplicativo da Ubnt não remove.
>>>>
>>>> Gabriel Mineiro
>>>> www.tca.com.br
>>>>
>>>> -----Mensagem original-----
>>>> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Guilherme 
>>>> Ganascim Enviada em: segunda-feira, 16 de maio de 2016 07:53
>>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes < 
>>>> gter at eng.registro.br>
>>>> Assunto: Re: [GTER] Script remoção virus UBNT - ** remove e 
>>>> atualiza **
>>>>
>>>> Para quem estiver com problema, estou usando um FOR para limpar 
>>>> tudo de uma vez, troca a porta e desativa o HTTPs e coloca um LOG 
>>>> para
>> verificar
>>>> depois;
>>>>
>>>> ##
>>>> for IP in `cat ips`;do sshpass -p ‘ubnt’  ssh -o "ConnectTimeout 
>>>> 15" -o "StrictHostKeyChecking no" -o "UserKnownHostsFile=/dev/null" 
>>>> ubnt@$IP
>>>> -p22 'cd /etc/persistent/ ; rm mf.tar; rm rc.poststart ; rm -R .mf 
>>>> ;
>> sed
>>> -i
>>>> 's/sshd.port=22/sshd.port=2222/g' /tmp/system.cfg;echo 
>>>> httpd.port=81 >> /tmp/system.cfg;echo httpd.https.status=disabled 
>>>> >> /tmp/system.cfg;
>>> cfgmtd
>>>> -p /etc/persistent/ -w ; cat /tmp/system.cfg | grep wireless.1.ssid 
>>>> |
>>> grep
>>>> mot && echo "NAO DEU"  || reboot' >> /tmp/analise.log 2>&1  & sleep
>>> 1;done
>>>>
>>>> Obrigado
>>>>
>>>> 2016-05-15 18:32 GMT-03:00 Elizandro Pacheco [ Pacheco Tecnologia ] 
>>>> <
>>>> elizandro at pachecotecnologia.net>:
>>>>
>>>>> Ferramenta Oficial:
>>>>>
>>>>>
>>>>>
>> http://community.ubnt.com/t5/airMAX-General-Discussion/Malware-Remova
>> l
>>>>> -Tool-05-15-2016/m-p/1564953#U1564953
>>>>>
>>>>>
>>>>> Poderiam unir as threads né?
>>>>>
>>>>>
>>>>> Elizandro Pacheco
>>>>>
>>>>>
>>>>>> Em 15 de mai de 2016, à(s) 14:32, Diego Canton de Brito <
>>>>> diegocanton at ensite.com.br> escreveu:
>>>>>>
>>>>>> Obrigado Alexandre, atualizado
>>>>>>
>>>>>> Em 2016-05-15 02:34, Alexandre J. Correa (Onda) escreveu:
>>>>>>
>>>>>>> Versão que remove e atualiza o rádio
>>>>>>>
>>>>>>> #!/bin/sh
>>>>>>> #ajcorrea
>>>>>>>
>>>>>>> /bin/sed -ir '/mcad/ c ' /etc/inittab /bin/sed -ir '/mcuser/ c '
>>>>>>> /etc/passwd /bin/rm -rf /etc/persistent/https /bin/rm -rf 
>>>>>>> /etc/persistent/mcuser /bin/rm -rf /etc/persistent/mf.tar 
>>>>>>> /bin/rm -rf /etc/persistent/.mf /bin/rm -rf 
>>>>>>> /etc/persistent/rc.poststart /bin/rm -rf 
>>>>>>> /etc/persistent/rc.prestart /bin/kill -HUP `/bin/pidof init` 
>>>>>>> /bin/kill -9 `/bin/pidof mcad` /bin/kill -9 `/bin/pidof
>> init`
>>>>>>> /bin/kill -9 `/bin/pidof search` /bin/kill -9 `/bin/pidof 
>>>>>>> mother` /bin/kill -9 `/bin/pidof sleep` /bin/cfgmtd -w -p /etc/
>>>>>>>
>>>>>>> versao=`cat /etc/version | cut -d'.' -f1` cd /tmp
>>>>>>>
>>>>>>> if [ "$versao" == "XM" ]; then
>>>>>>> URL='
>>>>>
>>>>
>>>
>> http://dl.ubnt.com/firmwares/XN-fw/v5.6.4/XM.v5.6.4.28924.160331.1253
>> .bin
'
>>>>>>> wget $URL
>>>>>>> ubntbox fwupdate.real -m /tmp/XM.v5.6.4.28924.160331.1253.bin
>>>>>>> else
>>>>>>> URL='
>>>>>
>>>>
>>>
>> http://dl.ubnt.com/firmwares/XW-fw/v5.6.4/XW.v5.6.4.28924.160331.1238
>> .bin
'
>>>>>>> wget $URL
>>>>>>> ubntbox fwupdate.real -m /tmp/XW.v5.6.4.28924.160331.1238.bin
>>>>>>> fi
>>>>>>>
>>>>>>> Diego Canton, atualiza o GITHUB lá que este procedimento já 
>>>>>>> ajuda
>>>>> bastante a galera...
>>>>>>
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>
>>>>
>>>>
>>>> --
>>>> Guilherme Ganascim
>>>> Mobile: +554399526000
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>
>>
>>
>> --
>> Att.
>>
>> Tiago N. Furbeta
>> Cangere Online - (35) 3853-3100
>> tfurbeta at cangere.com.br
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

--
gter list    https://eng.registro.br/mailman/listinfo/gter
--
gter list    https://eng.registro.br/mailman/listinfo/gter


More information about the gter mailing list