[GTER] RES: Script remoção virus UBNT - ** remove e atualiza **

Alexandre J. Correa (Onda) alexandre at onda.net.br
Wed May 18 18:23:20 -03 2016


https://github.com/ajcorrea/cleanmf/blob/master/cleanmf.sh

Fiz esta alteração hoje mais cedo !!!


Em 18/05/2016 14:11, Gabriel Siena escreveu:
> Pessoal, uma sugestão, seria possível implantar nos scripts a verificação
> de IPS com final 0 e 255 , muitos provedores que utilizam autenticação
> PPPoE nos clientes utiliza esses IPS, inclusive nós aqui , rs.
> Em 18 de mai de 2016 11:26 AM, "Elizandro Pacheco [ Pacheco Tecnologia ]" <
> elizandro at pachecotecnologia.net> escreveu:
>
>
> Eu estou utilizando um scanner que fiz em python e que aceita blocos de
> qualquer tamanho, quem quiser ver:
>
> https://github.com/elizandropacheco/ubntcleanermf
>
> Se o alexandre permitir, posso portar o script pra python e organizar
> melhor.. com funções de log, etc…
>
>
> Um abraço,
>
> Elizandro Pacheco
>
>
>> Em 17 de mai de 2016, à(s) 07:48, Fernando Amatte <famatte at gmail.com>
> escreveu:
>> Senhores, bom dia.
>>
>> Alguem teria copia do malware em questao  para analise ?
>>
>> Abraços
>>
>> Fernando Amatte
>>
>> 2016-05-16 20:10 GMT-03:00 Tiago Furbeta <tfurbeta at cangere.com.br>:
>>
>>> aproveitando o gancho, Alexandre é um cara que está sempre alerta e
>>> prestativo, profissional altamente gabaritado com vasta experiência nas
>>> mais diversas áreas. obrigado pelas suas valiosas contribuições.
>>>
>>> abraço
>>>
>>> Em 16 de maio de 2016 15:37, Rogerio Alves <rogerioapedroso at gmail.com>
>>> escreveu:
>>>
>>>> Venho aqui agradecer ao Alexandre J. Correa, pois graças ao esforço  e
>>>> inteligência dele, estou conseguindo dar uma organizada na bagunça que a
>>>> UBNT fez e não conseguiu ao menos fazer uma ferramenta que preste!
>>>>
>>>> Att. Rogerio Alves
>>>>
>>>> Em 16 de maio de 2016 14:15, Gabriel Mineiro <mineiro at tca.com.br>
>>>> escreveu:
>>>>
>>>>> Ninguém está limpando a pasta /var/tmp/upload? A menos não vi nos
>>> scripts
>>>>> sugeridos. O aplicativo da Ubnt não remove.
>>>>>
>>>>> Gabriel Mineiro
>>>>> www.tca.com.br
>>>>>
>>>>> -----Mensagem original-----
>>>>> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Guilherme
>>>>> Ganascim
>>>>> Enviada em: segunda-feira, 16 de maio de 2016 07:53
>>>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
>>>>> gter at eng.registro.br>
>>>>> Assunto: Re: [GTER] Script remoção virus UBNT - ** remove e atualiza **
>>>>>
>>>>> Para quem estiver com problema, estou usando um FOR para limpar tudo de
>>>>> uma vez, troca a porta e desativa o HTTPs e coloca um LOG para
>>> verificar
>>>>> depois;
>>>>>
>>>>> ##
>>>>> for IP in `cat ips`;do sshpass -p ‘ubnt’  ssh -o "ConnectTimeout 15" -o
>>>>> "StrictHostKeyChecking no" -o "UserKnownHostsFile=/dev/null" ubnt@$IP
>>>>> -p22 'cd /etc/persistent/ ; rm mf.tar; rm rc.poststart ; rm -R .mf ;
>>> sed
>>>> -i
>>>>> 's/sshd.port=22/sshd.port=2222/g' /tmp/system.cfg;echo httpd.port=81 >>
>>>>> /tmp/system.cfg;echo httpd.https.status=disabled >> /tmp/system.cfg;
>>>> cfgmtd
>>>>> -p /etc/persistent/ -w ; cat /tmp/system.cfg | grep wireless.1.ssid |
>>>> grep
>>>>> mot && echo "NAO DEU"  || reboot' >> /tmp/analise.log 2>&1  & sleep
>>>> 1;done
>>>>> Obrigado
>>>>>
>>>>> 2016-05-15 18:32 GMT-03:00 Elizandro Pacheco [ Pacheco Tecnologia ] <
>>>>> elizandro at pachecotecnologia.net>:
>>>>>
>>>>>> Ferramenta Oficial:
>>>>>>
>>>>>>
>>>>>>
>>> http://community.ubnt.com/t5/airMAX-General-Discussion/Malware-Removal
>>>>>> -Tool-05-15-2016/m-p/1564953#U1564953
>>>>>>
>>>>>>
>>>>>> Poderiam unir as threads né?
>>>>>>
>>>>>>
>>>>>> Elizandro Pacheco
>>>>>>
>>>>>>
>>>>>>> Em 15 de mai de 2016, à(s) 14:32, Diego Canton de Brito <
>>>>>> diegocanton at ensite.com.br> escreveu:
>>>>>>> Obrigado Alexandre, atualizado
>>>>>>>
>>>>>>> Em 2016-05-15 02:34, Alexandre J. Correa (Onda) escreveu:
>>>>>>>
>>>>>>>> Versão que remove e atualiza o rádio
>>>>>>>>
>>>>>>>> #!/bin/sh
>>>>>>>> #ajcorrea
>>>>>>>>
>>>>>>>> /bin/sed -ir '/mcad/ c ' /etc/inittab /bin/sed -ir '/mcuser/ c '
>>>>>>>> /etc/passwd /bin/rm -rf /etc/persistent/https /bin/rm -rf
>>>>>>>> /etc/persistent/mcuser /bin/rm -rf /etc/persistent/mf.tar /bin/rm
>>>>>>>> -rf /etc/persistent/.mf /bin/rm -rf /etc/persistent/rc.poststart
>>>>>>>> /bin/rm -rf /etc/persistent/rc.prestart /bin/kill -HUP `/bin/pidof
>>>>>>>> init` /bin/kill -9 `/bin/pidof mcad` /bin/kill -9 `/bin/pidof
>>> init`
>>>>>>>> /bin/kill -9 `/bin/pidof search` /bin/kill -9 `/bin/pidof mother`
>>>>>>>> /bin/kill -9 `/bin/pidof sleep` /bin/cfgmtd -w -p /etc/
>>>>>>>>
>>>>>>>> versao=`cat /etc/version | cut -d'.' -f1` cd /tmp
>>>>>>>>
>>>>>>>> if [ "$versao" == "XM" ]; then
>>>>>>>> URL='
>>> http://dl.ubnt.com/firmwares/XN-fw/v5.6.4/XM.v5.6.4.28924.160331.1253.bin
> '
>>>>>>>> wget $URL
>>>>>>>> ubntbox fwupdate.real -m /tmp/XM.v5.6.4.28924.160331.1253.bin
>>>>>>>> else
>>>>>>>> URL='
>>> http://dl.ubnt.com/firmwares/XW-fw/v5.6.4/XW.v5.6.4.28924.160331.1238.bin
> '
>>>>>>>> wget $URL
>>>>>>>> ubntbox fwupdate.real -m /tmp/XW.v5.6.4.28924.160331.1238.bin
>>>>>>>> fi
>>>>>>>>
>>>>>>>> Diego Canton, atualiza o GITHUB lá que este procedimento já ajuda
>>>>>> bastante a galera...
>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>> --
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>
>>>>>
>>>>> --
>>>>> Guilherme Ganascim
>>>>> Mobile: +554399526000
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>
>>>
>>> --
>>> Att.
>>>
>>> Tiago N. Furbeta
>>> Cangere Online - (35) 3853-3100
>>> tfurbeta at cangere.com.br
>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


-- 
Sds.

Alexandre Jeronimo Correa
Onda Internet
Office: +55 34 3351 3077
www.onda.net.br




More information about the gter mailing list