[GTER] RES: Script remoção virus UBNT - ** remove e atualiza **

Jorge Luiz Taioque jorgeluiztaioque at gmail.com
Thu May 19 10:53:01 -03 2016


Fala alexandre meu usuario é jorgeluiztaioque

Se atrapalhar seu código posso criar um fork e disponibilizar aqui também.

Abs.

[] 's

-------------------------------------------------------------------------
*Jorge L. Taioque*
www.networktips.com.br
jorge [at] networktips [dot] com [dot] br
jorgeluiztaioque [at] gmail [dot] com

*"Simplicity is the first step to knowledge"*
-------------------------------------------------------------------------



2016-05-19 8:48 GMT-03:00 Alexandre J. Correa (Onda) <alexandre at onda.net.br>
:

> Criei uma versão separada que ativa o CT para não interferir em quem não
> usa, bem como a troca das portas principalmente do SSH que conflitava com
> radios que usavam DMZ.
>
> O motivo da retirada do CT foi que alguns reportaram problemas ao
> ativarem, então eu removi e fiz separado.
>
> Jorge Luiz, qual seu usuário lá no github ? posso add você lá .. estou
> tentando rescrever o script mas não está sobrando tempo !!!
>
>
>
> Em 19/05/2016 00:00, Jorge Luiz Taioque escreveu:
>
>> testando os scripts acabei escrevendo algumas linha a mais que podem
>> ajudar
>> todos
>>
>> não fiz um pull no projeto do Alexandre mas acredito que de para todos
>> implementarem sem problemas
>>
>> Um for para um classe maior de IPS onde é possivel definir o tamanho da
>> classe.
>> A complexabilidade do algorítimo aumenta mas pega todos os ips da rede
>> configurada.
>>
>> network="10.0."
>> ip3="0 2"
>> ip4="1 255"
>>
>> for ip3l in $(seq $ip3) ;do
>>          for ip4l in $(seq $ip4) ;do
>>                  echo "$network$ip3l.$ip4l";
>>          done
>> done
>>
>> Alem de criar o arquivo CT para habilitar o compliance test também altero
>> as configurações do radio para subir com esse country code.
>>
>> cat /tmp/system.cfg | sed -e
>> 's/radio.countrycode=[^[:space:]]\+/radio.countrycode=511/g' | sed -e
>> 's/radio.1.countrycode=[^[:space:]]\+/radio.1.countrycode=511/g' >
>> /tmp/system2.cfg;
>> mv /tmp/system2.cfg /tmp/system.cfg
>> /bin/cfgmtd -w -p /tmp/;
>> touch /etc/persistent/ct
>> /bin/cfgmtd -w -p /etc/;
>>
>>
>> E para gerar os logs e saber qual AP estava infectada para uma posterior
>> confirmação manual ou por script enfio um IF para radio checando se o
>> arquivo mf.tar (da para alterar para o .mf)  se existir o arquivo ele
>> envia
>> a linha com o usuário PPPOE do radio e IP configurado na PPP0 pode ser o
>> IP
>> de qualquer interface.
>>
>> sshpass -p $PASSWORD ssh -oConnectTimeout=10 -oStrictHostKeyChecking=no
>> $USERNAME@$IP"
>> if [ -e /etc/persistent/mf.tar ]; then
>> username=\$(cat /tmp/system.cfg |grep ppp.1.name=);
>> ip=\$(ifconfig ppp0 | awk '/inet addr/{print substr(\$2,6)}');
>> echo \"\$username \$ip INFECTADO\";
>> fi;
>> trigger_url
>> https://raw.githubusercontent.com/ajcorrea/cleanmf/master/cleanmfv3.sh |
>> sh;"&
>>
>>> log.txt
>>>
>> O resultado do IF contendo username e IP são guardados no arquivo log.txt
>> apenas dos radios infectados com o MF.
>>
>>
>> E se abrir esse projeto o GITUB até o fim da semana tem um sistema que faz
>> tudo rsrsrs
>>
>>
>> Abs.
>>
>>
>> [] 's
>>
>> -------------------------------------------------------------------------
>> *Jorge L. Taioque*
>> www.networktips.com.br
>> jorge [at] networktips [dot] com [dot] br
>> jorgeluiztaioque [at] gmail [dot] com
>>
>> *"Simplicity is the first step to knowledge"*
>>
>> -------------------------------------------------------------------------
>>
>>
>>
>> 2016-05-18 22:00 GMT-03:00 Gabriel Siena <tecgsiena at gmail.com>:
>>
>> Alexandre, eu vi que no changelog do seu script que foi removido o
>>> Compliance Test na versão 5.6.5 , depois foi criado um outro script com a
>>> opção de ativar novamente. Voce teve problemas com Compliance Test na
>>> versão 5.6.5 ? o que ocorreu?
>>> Na versão 5.6.4 esta OK o Compliance Test ?
>>>
>>> Em 18 de maio de 2016 18:23, Alexandre J. Correa (Onda) <
>>> alexandre at onda.net.br> escreveu:
>>>
>>> https://github.com/ajcorrea/cleanmf/blob/master/cleanmf.sh
>>>>
>>>> Fiz esta alteração hoje mais cedo !!!
>>>>
>>>>
>>>>
>>>> Em 18/05/2016 14:11, Gabriel Siena escreveu:
>>>>
>>>> Pessoal, uma sugestão, seria possível implantar nos scripts a
>>>>>
>>>> verificação
>>>
>>>> de IPS com final 0 e 255 , muitos provedores que utilizam autenticação
>>>>> PPPoE nos clientes utiliza esses IPS, inclusive nós aqui , rs.
>>>>> Em 18 de mai de 2016 11:26 AM, "Elizandro Pacheco [ Pacheco Tecnologia
>>>>>
>>>> ]"
>>>
>>>> <
>>>>> elizandro at pachecotecnologia.net> escreveu:
>>>>>
>>>>>
>>>>> Eu estou utilizando um scanner que fiz em python e que aceita blocos de
>>>>> qualquer tamanho, quem quiser ver:
>>>>>
>>>>> https://github.com/elizandropacheco/ubntcleanermf
>>>>>
>>>>> Se o alexandre permitir, posso portar o script pra python e organizar
>>>>> melhor.. com funções de log, etc…
>>>>>
>>>>>
>>>>> Um abraço,
>>>>>
>>>>> Elizandro Pacheco
>>>>>
>>>>>
>>>>> Em 17 de mai de 2016, à(s) 07:48, Fernando Amatte <famatte at gmail.com>
>>>>> escreveu:
>>>>>
>>>>> Senhores, bom dia.
>>>>>>
>>>>>> Alguem teria copia do malware em questao  para analise ?
>>>>>>
>>>>>> Abraços
>>>>>>
>>>>>> Fernando Amatte
>>>>>>
>>>>>> 2016-05-16 20:10 GMT-03:00 Tiago Furbeta <tfurbeta at cangere.com.br>:
>>>>>>
>>>>>> aproveitando o gancho, Alexandre é um cara que está sempre alerta e
>>>>>>
>>>>>>> prestativo, profissional altamente gabaritado com vasta experiência
>>>>>>>
>>>>>> nas
>>>
>>>> mais diversas áreas. obrigado pelas suas valiosas contribuições.
>>>>>>>
>>>>>>> abraço
>>>>>>>
>>>>>>> Em 16 de maio de 2016 15:37, Rogerio Alves <
>>>>>>> rogerioapedroso at gmail.com
>>>>>>> escreveu:
>>>>>>>
>>>>>>> Venho aqui agradecer ao Alexandre J. Correa, pois graças ao esforço
>>>>>>> e
>>>>>>>
>>>>>>>> inteligência dele, estou conseguindo dar uma organizada na bagunça
>>>>>>>>
>>>>>>> que
>>>
>>>> a
>>>>>>>> UBNT fez e não conseguiu ao menos fazer uma ferramenta que preste!
>>>>>>>>
>>>>>>>> Att. Rogerio Alves
>>>>>>>>
>>>>>>>> Em 16 de maio de 2016 14:15, Gabriel Mineiro <mineiro at tca.com.br>
>>>>>>>> escreveu:
>>>>>>>>
>>>>>>>> Ninguém está limpando a pasta /var/tmp/upload? A menos não vi nos
>>>>>>>> scripts
>>>>>>>> sugeridos. O aplicativo da Ubnt não remove.
>>>>>>>>
>>>>>>>>> Gabriel Mineiro
>>>>>>>>> www.tca.com.br
>>>>>>>>>
>>>>>>>>> -----Mensagem original-----
>>>>>>>>> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de
>>>>>>>>> Guilherme
>>>>>>>>> Ganascim
>>>>>>>>> Enviada em: segunda-feira, 16 de maio de 2016 07:53
>>>>>>>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
>>>>>>>>> gter at eng.registro.br>
>>>>>>>>> Assunto: Re: [GTER] Script remoção virus UBNT - ** remove e
>>>>>>>>> atualiza
>>>>>>>>> **
>>>>>>>>>
>>>>>>>>> Para quem estiver com problema, estou usando um FOR para limpar
>>>>>>>>> tudo
>>>>>>>>> de
>>>>>>>>> uma vez, troca a porta e desativa o HTTPs e coloca um LOG para
>>>>>>>>>
>>>>>>>>> verificar
>>>>>>>> depois;
>>>>>>>>
>>>>>>>>> ##
>>>>>>>>> for IP in `cat ips`;do sshpass -p ‘ubnt’  ssh -o "ConnectTimeout
>>>>>>>>> 15"
>>>>>>>>> -o
>>>>>>>>> "StrictHostKeyChecking no" -o "UserKnownHostsFile=/dev/null" ubnt@
>>>>>>>>>
>>>>>>>> $IP
>>>
>>>> -p22 'cd /etc/persistent/ ; rm mf.tar; rm rc.poststart ; rm -R .mf ;
>>>>>>>>>
>>>>>>>>> sed
>>>>>>>> -i
>>>>>>>>
>>>>>>>> 's/sshd.port=22/sshd.port=2222/g' /tmp/system.cfg;echo httpd.port=81
>>>>>>>>> /tmp/system.cfg;echo httpd.https.status=disabled >>
>>>>>>>>> /tmp/system.cfg;
>>>>>>>>>
>>>>>>>>> cfgmtd
>>>>>>>>
>>>>>>>> -p /etc/persistent/ -w ; cat /tmp/system.cfg | grep wireless.1.ssid
>>>>>>>>>
>>>>>>>> |
>>>
>>>> grep
>>>>>>>>
>>>>>>>> mot && echo "NAO DEU"  || reboot' >> /tmp/analise.log 2>&1  & sleep
>>>>>>>>>
>>>>>>>>> 1;done
>>>>>>>>
>>>>>>>> Obrigado
>>>>>>>>>
>>>>>>>>> 2016-05-15 18:32 GMT-03:00 Elizandro Pacheco [ Pacheco Tecnologia ]
>>>>>>>>>
>>>>>>>> <
>>>
>>>> elizandro at pachecotecnologia.net>:
>>>>>>>>>
>>>>>>>>> Ferramenta Oficial:
>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>>
>>> http://community.ubnt.com/t5/airMAX-General-Discussion/Malware-Removal
>>>
>>>> -Tool-05-15-2016/m-p/1564953#U1564953
>>>>>>>>
>>>>>>>>>
>>>>>>>>>> Poderiam unir as threads né?
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Elizandro Pacheco
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> Em 15 de mai de 2016, à(s) 14:32, Diego Canton de Brito <
>>>>>>>>>> diegocanton at ensite.com.br> escreveu:
>>>>>>>>>>
>>>>>>>>>> Obrigado Alexandre, atualizado
>>>>>>>>>>>
>>>>>>>>>>> Em 2016-05-15 02:34, Alexandre J. Correa (Onda) escreveu:
>>>>>>>>>>>
>>>>>>>>>>> Versão que remove e atualiza o rádio
>>>>>>>>>>>
>>>>>>>>>>>> #!/bin/sh
>>>>>>>>>>>> #ajcorrea
>>>>>>>>>>>>
>>>>>>>>>>>> /bin/sed -ir '/mcad/ c ' /etc/inittab /bin/sed -ir '/mcuser/ c '
>>>>>>>>>>>> /etc/passwd /bin/rm -rf /etc/persistent/https /bin/rm -rf
>>>>>>>>>>>> /etc/persistent/mcuser /bin/rm -rf /etc/persistent/mf.tar
>>>>>>>>>>>> /bin/rm
>>>>>>>>>>>> -rf /etc/persistent/.mf /bin/rm -rf /etc/persistent/rc.poststart
>>>>>>>>>>>> /bin/rm -rf /etc/persistent/rc.prestart /bin/kill -HUP
>>>>>>>>>>>>
>>>>>>>>>>> `/bin/pidof
>>>
>>>> init` /bin/kill -9 `/bin/pidof mcad` /bin/kill -9 `/bin/pidof
>>>>>>>>>>>>
>>>>>>>>>>>> init`
>>>>>>>>>>>
>>>>>>>>>> /bin/kill -9 `/bin/pidof search` /bin/kill -9 `/bin/pidof mother`
>>>>>>>>
>>>>>>>>> /bin/kill -9 `/bin/pidof sleep` /bin/cfgmtd -w -p /etc/
>>>>>>>>>>>>
>>>>>>>>>>>> versao=`cat /etc/version | cut -d'.' -f1` cd /tmp
>>>>>>>>>>>>
>>>>>>>>>>>> if [ "$versao" == "XM" ]; then
>>>>>>>>>>>> URL='
>>>>>>>>>>>>
>>>>>>>>>>>>
>>> http://dl.ubnt.com/firmwares/XN-fw/v5.6.4/XM.v5.6.4.28924.160331.1253.bin
>>>
>>>> '
>>>>>> wget $URL
>>>>>>
>>>>>>> ubntbox fwupdate.real -m /tmp/XM.v5.6.4.28924.160331.1253.bin
>>>>>>>>>>>> else
>>>>>>>>>>>> URL='
>>>>>>>>>>>>
>>>>>>>>>>>>
>>> http://dl.ubnt.com/firmwares/XW-fw/v5.6.4/XW.v5.6.4.28924.160331.1238.bin
>>>
>>>> '
>>>>>> wget $URL
>>>>>>
>>>>>>> ubntbox fwupdate.real -m /tmp/XW.v5.6.4.28924.160331.1238.bin
>>>>>>>>>>>> fi
>>>>>>>>>>>>
>>>>>>>>>>>> Diego Canton, atualiza o GITHUB lá que este procedimento já
>>>>>>>>>>>> ajuda
>>>>>>>>>>>>
>>>>>>>>>>>> bastante a galera...
>>>>>>>>>>> --
>>>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>>
>>>>>>>>>>> --
>>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>>
>>>>>>>>>>
>>>>>>>>>> --
>>>>>>>>> Guilherme Ganascim
>>>>>>>>> Mobile: +554399526000
>>>>>>>>> --
>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>> --
>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>>
>>>>>>>>> --
>>>>>>>>>
>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>>
>>>>>>>>
>>>>>>>> --
>>>>>>> Att.
>>>>>>>
>>>>>>> Tiago N. Furbeta
>>>>>>> Cangere Online - (35) 3853-3100
>>>>>>> tfurbeta at cangere.com.br
>>>>>>> --
>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>>
>>>>>>> --
>>>>>>>
>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>>
>>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>> --
>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>>
>>>>>
>>>> --
>>>> Sds.
>>>>
>>>> Alexandre Jeronimo Correa
>>>> Onda Internet
>>>> Office: +55 34 3351 3077
>>>> www.onda.net.br
>>>>
>>>> --
>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>>
>>>> --
>>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>>
>>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
>>
>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Onda Internet
> Office: +55 34 3351 3077
> www.onda.net.br
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list