[GTER] RES: Script remoção virus UBNT - ** remove e atualiza **
Alexandre J. Correa (Onda)
alexandre at onda.net.br
Thu May 19 08:48:14 -03 2016
Criei uma versão separada que ativa o CT para não interferir em quem não
usa, bem como a troca das portas principalmente do SSH que conflitava
com radios que usavam DMZ.
O motivo da retirada do CT foi que alguns reportaram problemas ao
ativarem, então eu removi e fiz separado.
Jorge Luiz, qual seu usuário lá no github ? posso add você lá .. estou
tentando rescrever o script mas não está sobrando tempo !!!
Em 19/05/2016 00:00, Jorge Luiz Taioque escreveu:
> testando os scripts acabei escrevendo algumas linha a mais que podem ajudar
> todos
>
> não fiz um pull no projeto do Alexandre mas acredito que de para todos
> implementarem sem problemas
>
> Um for para um classe maior de IPS onde é possivel definir o tamanho da
> classe.
> A complexabilidade do algorítimo aumenta mas pega todos os ips da rede
> configurada.
>
> network="10.0."
> ip3="0 2"
> ip4="1 255"
>
> for ip3l in $(seq $ip3) ;do
> for ip4l in $(seq $ip4) ;do
> echo "$network$ip3l.$ip4l";
> done
> done
>
> Alem de criar o arquivo CT para habilitar o compliance test também altero
> as configurações do radio para subir com esse country code.
>
> cat /tmp/system.cfg | sed -e
> 's/radio.countrycode=[^[:space:]]\+/radio.countrycode=511/g' | sed -e
> 's/radio.1.countrycode=[^[:space:]]\+/radio.1.countrycode=511/g' >
> /tmp/system2.cfg;
> mv /tmp/system2.cfg /tmp/system.cfg
> /bin/cfgmtd -w -p /tmp/;
> touch /etc/persistent/ct
> /bin/cfgmtd -w -p /etc/;
>
>
> E para gerar os logs e saber qual AP estava infectada para uma posterior
> confirmação manual ou por script enfio um IF para radio checando se o
> arquivo mf.tar (da para alterar para o .mf) se existir o arquivo ele envia
> a linha com o usuário PPPOE do radio e IP configurado na PPP0 pode ser o IP
> de qualquer interface.
>
> sshpass -p $PASSWORD ssh -oConnectTimeout=10 -oStrictHostKeyChecking=no
> $USERNAME@$IP"
> if [ -e /etc/persistent/mf.tar ]; then
> username=\$(cat /tmp/system.cfg |grep ppp.1.name=);
> ip=\$(ifconfig ppp0 | awk '/inet addr/{print substr(\$2,6)}');
> echo \"\$username \$ip INFECTADO\";
> fi;
> trigger_url
> https://raw.githubusercontent.com/ajcorrea/cleanmf/master/cleanmfv3.sh | sh;"&
>> log.txt
> O resultado do IF contendo username e IP são guardados no arquivo log.txt
> apenas dos radios infectados com o MF.
>
>
> E se abrir esse projeto o GITUB até o fim da semana tem um sistema que faz
> tudo rsrsrs
>
>
> Abs.
>
>
> [] 's
>
> -------------------------------------------------------------------------
> *Jorge L. Taioque*
> www.networktips.com.br
> jorge [at] networktips [dot] com [dot] br
> jorgeluiztaioque [at] gmail [dot] com
>
> *"Simplicity is the first step to knowledge"*
> -------------------------------------------------------------------------
>
>
>
> 2016-05-18 22:00 GMT-03:00 Gabriel Siena <tecgsiena at gmail.com>:
>
>> Alexandre, eu vi que no changelog do seu script que foi removido o
>> Compliance Test na versão 5.6.5 , depois foi criado um outro script com a
>> opção de ativar novamente. Voce teve problemas com Compliance Test na
>> versão 5.6.5 ? o que ocorreu?
>> Na versão 5.6.4 esta OK o Compliance Test ?
>>
>> Em 18 de maio de 2016 18:23, Alexandre J. Correa (Onda) <
>> alexandre at onda.net.br> escreveu:
>>
>>> https://github.com/ajcorrea/cleanmf/blob/master/cleanmf.sh
>>>
>>> Fiz esta alteração hoje mais cedo !!!
>>>
>>>
>>>
>>> Em 18/05/2016 14:11, Gabriel Siena escreveu:
>>>
>>>> Pessoal, uma sugestão, seria possível implantar nos scripts a
>> verificação
>>>> de IPS com final 0 e 255 , muitos provedores que utilizam autenticação
>>>> PPPoE nos clientes utiliza esses IPS, inclusive nós aqui , rs.
>>>> Em 18 de mai de 2016 11:26 AM, "Elizandro Pacheco [ Pacheco Tecnologia
>> ]"
>>>> <
>>>> elizandro at pachecotecnologia.net> escreveu:
>>>>
>>>>
>>>> Eu estou utilizando um scanner que fiz em python e que aceita blocos de
>>>> qualquer tamanho, quem quiser ver:
>>>>
>>>> https://github.com/elizandropacheco/ubntcleanermf
>>>>
>>>> Se o alexandre permitir, posso portar o script pra python e organizar
>>>> melhor.. com funções de log, etc…
>>>>
>>>>
>>>> Um abraço,
>>>>
>>>> Elizandro Pacheco
>>>>
>>>>
>>>> Em 17 de mai de 2016, à(s) 07:48, Fernando Amatte <famatte at gmail.com>
>>>> escreveu:
>>>>
>>>>> Senhores, bom dia.
>>>>>
>>>>> Alguem teria copia do malware em questao para analise ?
>>>>>
>>>>> Abraços
>>>>>
>>>>> Fernando Amatte
>>>>>
>>>>> 2016-05-16 20:10 GMT-03:00 Tiago Furbeta <tfurbeta at cangere.com.br>:
>>>>>
>>>>> aproveitando o gancho, Alexandre é um cara que está sempre alerta e
>>>>>> prestativo, profissional altamente gabaritado com vasta experiência
>> nas
>>>>>> mais diversas áreas. obrigado pelas suas valiosas contribuições.
>>>>>>
>>>>>> abraço
>>>>>>
>>>>>> Em 16 de maio de 2016 15:37, Rogerio Alves <rogerioapedroso at gmail.com
>>>>>> escreveu:
>>>>>>
>>>>>> Venho aqui agradecer ao Alexandre J. Correa, pois graças ao esforço e
>>>>>>> inteligência dele, estou conseguindo dar uma organizada na bagunça
>> que
>>>>>>> a
>>>>>>> UBNT fez e não conseguiu ao menos fazer uma ferramenta que preste!
>>>>>>>
>>>>>>> Att. Rogerio Alves
>>>>>>>
>>>>>>> Em 16 de maio de 2016 14:15, Gabriel Mineiro <mineiro at tca.com.br>
>>>>>>> escreveu:
>>>>>>>
>>>>>>> Ninguém está limpando a pasta /var/tmp/upload? A menos não vi nos
>>>>>>> scripts
>>>>>>> sugeridos. O aplicativo da Ubnt não remove.
>>>>>>>> Gabriel Mineiro
>>>>>>>> www.tca.com.br
>>>>>>>>
>>>>>>>> -----Mensagem original-----
>>>>>>>> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Guilherme
>>>>>>>> Ganascim
>>>>>>>> Enviada em: segunda-feira, 16 de maio de 2016 07:53
>>>>>>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
>>>>>>>> gter at eng.registro.br>
>>>>>>>> Assunto: Re: [GTER] Script remoção virus UBNT - ** remove e atualiza
>>>>>>>> **
>>>>>>>>
>>>>>>>> Para quem estiver com problema, estou usando um FOR para limpar tudo
>>>>>>>> de
>>>>>>>> uma vez, troca a porta e desativa o HTTPs e coloca um LOG para
>>>>>>>>
>>>>>>> verificar
>>>>>>> depois;
>>>>>>>> ##
>>>>>>>> for IP in `cat ips`;do sshpass -p ‘ubnt’ ssh -o "ConnectTimeout 15"
>>>>>>>> -o
>>>>>>>> "StrictHostKeyChecking no" -o "UserKnownHostsFile=/dev/null" ubnt@
>> $IP
>>>>>>>> -p22 'cd /etc/persistent/ ; rm mf.tar; rm rc.poststart ; rm -R .mf ;
>>>>>>>>
>>>>>>> sed
>>>>>>> -i
>>>>>>>
>>>>>>>> 's/sshd.port=22/sshd.port=2222/g' /tmp/system.cfg;echo httpd.port=81
>>>>>>>> /tmp/system.cfg;echo httpd.https.status=disabled >> /tmp/system.cfg;
>>>>>>>>
>>>>>>> cfgmtd
>>>>>>>
>>>>>>>> -p /etc/persistent/ -w ; cat /tmp/system.cfg | grep wireless.1.ssid
>> |
>>>>>>> grep
>>>>>>>
>>>>>>>> mot && echo "NAO DEU" || reboot' >> /tmp/analise.log 2>&1 & sleep
>>>>>>>>
>>>>>>> 1;done
>>>>>>>
>>>>>>>> Obrigado
>>>>>>>>
>>>>>>>> 2016-05-15 18:32 GMT-03:00 Elizandro Pacheco [ Pacheco Tecnologia ]
>> <
>>>>>>>> elizandro at pachecotecnologia.net>:
>>>>>>>>
>>>>>>>> Ferramenta Oficial:
>>>>>>>>>
>>>>>>>>>
>>>>>>>>>
>> http://community.ubnt.com/t5/airMAX-General-Discussion/Malware-Removal
>>>>>>> -Tool-05-15-2016/m-p/1564953#U1564953
>>>>>>>>>
>>>>>>>>> Poderiam unir as threads né?
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Elizandro Pacheco
>>>>>>>>>
>>>>>>>>>
>>>>>>>>> Em 15 de mai de 2016, à(s) 14:32, Diego Canton de Brito <
>>>>>>>>> diegocanton at ensite.com.br> escreveu:
>>>>>>>>>
>>>>>>>>>> Obrigado Alexandre, atualizado
>>>>>>>>>>
>>>>>>>>>> Em 2016-05-15 02:34, Alexandre J. Correa (Onda) escreveu:
>>>>>>>>>>
>>>>>>>>>> Versão que remove e atualiza o rádio
>>>>>>>>>>> #!/bin/sh
>>>>>>>>>>> #ajcorrea
>>>>>>>>>>>
>>>>>>>>>>> /bin/sed -ir '/mcad/ c ' /etc/inittab /bin/sed -ir '/mcuser/ c '
>>>>>>>>>>> /etc/passwd /bin/rm -rf /etc/persistent/https /bin/rm -rf
>>>>>>>>>>> /etc/persistent/mcuser /bin/rm -rf /etc/persistent/mf.tar /bin/rm
>>>>>>>>>>> -rf /etc/persistent/.mf /bin/rm -rf /etc/persistent/rc.poststart
>>>>>>>>>>> /bin/rm -rf /etc/persistent/rc.prestart /bin/kill -HUP
>> `/bin/pidof
>>>>>>>>>>> init` /bin/kill -9 `/bin/pidof mcad` /bin/kill -9 `/bin/pidof
>>>>>>>>>>>
>>>>>>>>>> init`
>>>>>>> /bin/kill -9 `/bin/pidof search` /bin/kill -9 `/bin/pidof mother`
>>>>>>>>>>> /bin/kill -9 `/bin/pidof sleep` /bin/cfgmtd -w -p /etc/
>>>>>>>>>>>
>>>>>>>>>>> versao=`cat /etc/version | cut -d'.' -f1` cd /tmp
>>>>>>>>>>>
>>>>>>>>>>> if [ "$versao" == "XM" ]; then
>>>>>>>>>>> URL='
>>>>>>>>>>>
>> http://dl.ubnt.com/firmwares/XN-fw/v5.6.4/XM.v5.6.4.28924.160331.1253.bin
>>>>> '
>>>>> wget $URL
>>>>>>>>>>> ubntbox fwupdate.real -m /tmp/XM.v5.6.4.28924.160331.1253.bin
>>>>>>>>>>> else
>>>>>>>>>>> URL='
>>>>>>>>>>>
>> http://dl.ubnt.com/firmwares/XW-fw/v5.6.4/XW.v5.6.4.28924.160331.1238.bin
>>>>> '
>>>>> wget $URL
>>>>>>>>>>> ubntbox fwupdate.real -m /tmp/XW.v5.6.4.28924.160331.1238.bin
>>>>>>>>>>> fi
>>>>>>>>>>>
>>>>>>>>>>> Diego Canton, atualiza o GITHUB lá que este procedimento já ajuda
>>>>>>>>>>>
>>>>>>>>>> bastante a galera...
>>>>>>>>>> --
>>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>
>>>>>>>>> --
>>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>
>>>>>>>>>
>>>>>>>> --
>>>>>>>> Guilherme Ganascim
>>>>>>>> Mobile: +554399526000
>>>>>>>> --
>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>> --
>>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>
>>>>>>>> --
>>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>>>
>>>>>> --
>>>>>> Att.
>>>>>>
>>>>>> Tiago N. Furbeta
>>>>>> Cangere Online - (35) 3853-3100
>>>>>> tfurbeta at cangere.com.br
>>>>>> --
>>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>> --
>>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>> --
>>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>
>>> --
>>> Sds.
>>>
>>> Alexandre Jeronimo Correa
>>> Onda Internet
>>> Office: +55 34 3351 3077
>>> www.onda.net.br
>>>
>>> --
>>> gter list https://eng.registro.br/mailman/listinfo/gter
>>>
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter
>>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
--
Sds.
Alexandre Jeronimo Correa
Onda Internet
Office: +55 34 3351 3077
www.onda.net.br
More information about the gter
mailing list