[GTER] RES: Script remoção virus UBNT - ** remove e atualiza **

Jorge Luiz Taioque jorgeluiztaioque at gmail.com
Thu May 19 00:00:30 -03 2016 

testando os scripts acabei escrevendo algumas linha a mais que podem ajudar
todos

não fiz um pull no projeto do Alexandre mas acredito que de para todos
implementarem sem problemas

Um for para um classe maior de IPS onde é possivel definir o tamanho da
classe.
A complexabilidade do algorítimo aumenta mas pega todos os ips da rede
configurada.

network="10.0."
ip3="0 2"
ip4="1 255"

for ip3l in $(seq $ip3) ;do
        for ip4l in $(seq $ip4) ;do
                echo "$network$ip3l.$ip4l";
        done
done

Alem de criar o arquivo CT para habilitar o compliance test também altero
as configurações do radio para subir com esse country code.

cat /tmp/system.cfg | sed -e
's/radio.countrycode=[^[:space:]]\+/radio.countrycode=511/g' | sed -e
's/radio.1.countrycode=[^[:space:]]\+/radio.1.countrycode=511/g' >
/tmp/system2.cfg;
mv /tmp/system2.cfg /tmp/system.cfg
/bin/cfgmtd -w -p /tmp/;
touch /etc/persistent/ct
/bin/cfgmtd -w -p /etc/;


E para gerar os logs e saber qual AP estava infectada para uma posterior
confirmação manual ou por script enfio um IF para radio checando se o
arquivo mf.tar (da para alterar para o .mf)  se existir o arquivo ele envia
a linha com o usuário PPPOE do radio e IP configurado na PPP0 pode ser o IP
de qualquer interface.

sshpass -p $PASSWORD ssh -oConnectTimeout=10 -oStrictHostKeyChecking=no
$USERNAME@$IP"
if [ -e /etc/persistent/mf.tar ]; then
username=\$(cat /tmp/system.cfg |grep ppp.1.name=);
ip=\$(ifconfig ppp0 | awk '/inet addr/{print substr(\$2,6)}');
echo \"\$username \$ip INFECTADO\";
fi;
trigger_url
https://raw.githubusercontent.com/ajcorrea/cleanmf/master/cleanmfv3.sh | sh;"&
> log.txt

O resultado do IF contendo username e IP são guardados no arquivo log.txt
apenas dos radios infectados com o MF.


E se abrir esse projeto o GITUB até o fim da semana tem um sistema que faz
tudo rsrsrs


Abs.


[] 's

-------------------------------------------------------------------------
*Jorge L. Taioque*
www.networktips.com.br
jorge [at] networktips [dot] com [dot] br
jorgeluiztaioque [at] gmail [dot] com

*"Simplicity is the first step to knowledge"*
-------------------------------------------------------------------------



2016-05-18 22:00 GMT-03:00 Gabriel Siena <tecgsiena at gmail.com>:

> Alexandre, eu vi que no changelog do seu script que foi removido o
> Compliance Test na versão 5.6.5 , depois foi criado um outro script com a
> opção de ativar novamente. Voce teve problemas com Compliance Test na
> versão 5.6.5 ? o que ocorreu?
> Na versão 5.6.4 esta OK o Compliance Test ?
>
> Em 18 de maio de 2016 18:23, Alexandre J. Correa (Onda) <
> alexandre at onda.net.br> escreveu:
>
> > https://github.com/ajcorrea/cleanmf/blob/master/cleanmf.sh
> >
> > Fiz esta alteração hoje mais cedo !!!
> >
> >
> >
> > Em 18/05/2016 14:11, Gabriel Siena escreveu:
> >
> >> Pessoal, uma sugestão, seria possível implantar nos scripts a
> verificação
> >> de IPS com final 0 e 255 , muitos provedores que utilizam autenticação
> >> PPPoE nos clientes utiliza esses IPS, inclusive nós aqui , rs.
> >> Em 18 de mai de 2016 11:26 AM, "Elizandro Pacheco [ Pacheco Tecnologia
> ]"
> >> <
> >> elizandro at pachecotecnologia.net> escreveu:
> >>
> >>
> >> Eu estou utilizando um scanner que fiz em python e que aceita blocos de
> >> qualquer tamanho, quem quiser ver:
> >>
> >> https://github.com/elizandropacheco/ubntcleanermf
> >>
> >> Se o alexandre permitir, posso portar o script pra python e organizar
> >> melhor.. com funções de log, etc…
> >>
> >>
> >> Um abraço,
> >>
> >> Elizandro Pacheco
> >>
> >>
> >> Em 17 de mai de 2016, à(s) 07:48, Fernando Amatte <famatte at gmail.com>
> >>>
> >> escreveu:
> >>
> >>> Senhores, bom dia.
> >>>
> >>> Alguem teria copia do malware em questao  para analise ?
> >>>
> >>> Abraços
> >>>
> >>> Fernando Amatte
> >>>
> >>> 2016-05-16 20:10 GMT-03:00 Tiago Furbeta <tfurbeta at cangere.com.br>:
> >>>
> >>> aproveitando o gancho, Alexandre é um cara que está sempre alerta e
> >>>> prestativo, profissional altamente gabaritado com vasta experiência
> nas
> >>>> mais diversas áreas. obrigado pelas suas valiosas contribuições.
> >>>>
> >>>> abraço
> >>>>
> >>>> Em 16 de maio de 2016 15:37, Rogerio Alves <rogerioapedroso at gmail.com
> >
> >>>> escreveu:
> >>>>
> >>>> Venho aqui agradecer ao Alexandre J. Correa, pois graças ao esforço  e
> >>>>> inteligência dele, estou conseguindo dar uma organizada na bagunça
> que
> >>>>> a
> >>>>> UBNT fez e não conseguiu ao menos fazer uma ferramenta que preste!
> >>>>>
> >>>>> Att. Rogerio Alves
> >>>>>
> >>>>> Em 16 de maio de 2016 14:15, Gabriel Mineiro <mineiro at tca.com.br>
> >>>>> escreveu:
> >>>>>
> >>>>> Ninguém está limpando a pasta /var/tmp/upload? A menos não vi nos
> >>>>>>
> >>>>> scripts
> >>>>
> >>>>> sugeridos. O aplicativo da Ubnt não remove.
> >>>>>>
> >>>>>> Gabriel Mineiro
> >>>>>> www.tca.com.br
> >>>>>>
> >>>>>> -----Mensagem original-----
> >>>>>> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Guilherme
> >>>>>> Ganascim
> >>>>>> Enviada em: segunda-feira, 16 de maio de 2016 07:53
> >>>>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> >>>>>> gter at eng.registro.br>
> >>>>>> Assunto: Re: [GTER] Script remoção virus UBNT - ** remove e atualiza
> >>>>>> **
> >>>>>>
> >>>>>> Para quem estiver com problema, estou usando um FOR para limpar tudo
> >>>>>> de
> >>>>>> uma vez, troca a porta e desativa o HTTPs e coloca um LOG para
> >>>>>>
> >>>>> verificar
> >>>>
> >>>>> depois;
> >>>>>>
> >>>>>> ##
> >>>>>> for IP in `cat ips`;do sshpass -p ‘ubnt’  ssh -o "ConnectTimeout 15"
> >>>>>> -o
> >>>>>> "StrictHostKeyChecking no" -o "UserKnownHostsFile=/dev/null" ubnt@
> $IP
> >>>>>> -p22 'cd /etc/persistent/ ; rm mf.tar; rm rc.poststart ; rm -R .mf ;
> >>>>>>
> >>>>> sed
> >>>>
> >>>>> -i
> >>>>>
> >>>>>> 's/sshd.port=22/sshd.port=2222/g' /tmp/system.cfg;echo httpd.port=81
> >>>>>> >>
> >>>>>> /tmp/system.cfg;echo httpd.https.status=disabled >> /tmp/system.cfg;
> >>>>>>
> >>>>> cfgmtd
> >>>>>
> >>>>>> -p /etc/persistent/ -w ; cat /tmp/system.cfg | grep wireless.1.ssid
> |
> >>>>>>
> >>>>> grep
> >>>>>
> >>>>>> mot && echo "NAO DEU"  || reboot' >> /tmp/analise.log 2>&1  & sleep
> >>>>>>
> >>>>> 1;done
> >>>>>
> >>>>>> Obrigado
> >>>>>>
> >>>>>> 2016-05-15 18:32 GMT-03:00 Elizandro Pacheco [ Pacheco Tecnologia ]
> <
> >>>>>> elizandro at pachecotecnologia.net>:
> >>>>>>
> >>>>>> Ferramenta Oficial:
> >>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>>>>
> >>>>
> http://community.ubnt.com/t5/airMAX-General-Discussion/Malware-Removal
> >>>>
> >>>>> -Tool-05-15-2016/m-p/1564953#U1564953
> >>>>>>>
> >>>>>>>
> >>>>>>> Poderiam unir as threads né?
> >>>>>>>
> >>>>>>>
> >>>>>>> Elizandro Pacheco
> >>>>>>>
> >>>>>>>
> >>>>>>> Em 15 de mai de 2016, à(s) 14:32, Diego Canton de Brito <
> >>>>>>>>
> >>>>>>> diegocanton at ensite.com.br> escreveu:
> >>>>>>>
> >>>>>>>> Obrigado Alexandre, atualizado
> >>>>>>>>
> >>>>>>>> Em 2016-05-15 02:34, Alexandre J. Correa (Onda) escreveu:
> >>>>>>>>
> >>>>>>>> Versão que remove e atualiza o rádio
> >>>>>>>>>
> >>>>>>>>> #!/bin/sh
> >>>>>>>>> #ajcorrea
> >>>>>>>>>
> >>>>>>>>> /bin/sed -ir '/mcad/ c ' /etc/inittab /bin/sed -ir '/mcuser/ c '
> >>>>>>>>> /etc/passwd /bin/rm -rf /etc/persistent/https /bin/rm -rf
> >>>>>>>>> /etc/persistent/mcuser /bin/rm -rf /etc/persistent/mf.tar /bin/rm
> >>>>>>>>> -rf /etc/persistent/.mf /bin/rm -rf /etc/persistent/rc.poststart
> >>>>>>>>> /bin/rm -rf /etc/persistent/rc.prestart /bin/kill -HUP
> `/bin/pidof
> >>>>>>>>> init` /bin/kill -9 `/bin/pidof mcad` /bin/kill -9 `/bin/pidof
> >>>>>>>>>
> >>>>>>>> init`
> >>>>
> >>>>> /bin/kill -9 `/bin/pidof search` /bin/kill -9 `/bin/pidof mother`
> >>>>>>>>> /bin/kill -9 `/bin/pidof sleep` /bin/cfgmtd -w -p /etc/
> >>>>>>>>>
> >>>>>>>>> versao=`cat /etc/version | cut -d'.' -f1` cd /tmp
> >>>>>>>>>
> >>>>>>>>> if [ "$versao" == "XM" ]; then
> >>>>>>>>> URL='
> >>>>>>>>>
> >>>>>>>>
> >>>>
> http://dl.ubnt.com/firmwares/XN-fw/v5.6.4/XM.v5.6.4.28924.160331.1253.bin
> >>>>
> >>> '
> >>
> >>> wget $URL
> >>>>>>>>> ubntbox fwupdate.real -m /tmp/XM.v5.6.4.28924.160331.1253.bin
> >>>>>>>>> else
> >>>>>>>>> URL='
> >>>>>>>>>
> >>>>>>>>
> >>>>
> http://dl.ubnt.com/firmwares/XW-fw/v5.6.4/XW.v5.6.4.28924.160331.1238.bin
> >>>>
> >>> '
> >>
> >>> wget $URL
> >>>>>>>>> ubntbox fwupdate.real -m /tmp/XW.v5.6.4.28924.160331.1238.bin
> >>>>>>>>> fi
> >>>>>>>>>
> >>>>>>>>> Diego Canton, atualiza o GITHUB lá que este procedimento já ajuda
> >>>>>>>>>
> >>>>>>>> bastante a galera...
> >>>>>>>
> >>>>>>>> --
> >>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>>
> >>>>>>> --
> >>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>
> >>>>>>>
> >>>>>>
> >>>>>> --
> >>>>>> Guilherme Ganascim
> >>>>>> Mobile: +554399526000
> >>>>>> --
> >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>> --
> >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>
> >>>>>> --
> >>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>
> >>>>>
> >>>>
> >>>> --
> >>>> Att.
> >>>>
> >>>> Tiago N. Furbeta
> >>>> Cangere Online - (35) 3853-3100
> >>>> tfurbeta at cangere.com.br
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
> > --
> > Sds.
> >
> > Alexandre Jeronimo Correa
> > Onda Internet
> > Office: +55 34 3351 3077
> > www.onda.net.br
> >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>

More information about the gter mailing list