[GTER] RES: RES: Script remoção virus UBNT - ** remove e atualiza **

Jorge Luiz Taioque jorgeluiztaioque at gmail.com
Fri May 20 10:40:06 -03 2016


Aproveitando o assunto.

Alguém com problemas de quedas de pppoe com os firmware 5.6.4 ou 5.6.5?

Já tivemos muitos problemas com os firmware 5.4.x e 5.5.x do pppoe cair
muitas vezes e mesmo trabalhando a qualidade do setor em sinal e CCQ as
quedas aconteciam muitas vezes ao dia.

At.

[] 's

-------------------------------------------------------------------------
*Jorge L. Taioque*
www.networktips.com.br
jorge [at] networktips [dot] com [dot] br
jorgeluiztaioque [at] gmail [dot] com

*"Simplicity is the first step to knowledge"*
-------------------------------------------------------------------------



2016-05-19 13:23 GMT-03:00 Raul Olive <raul at novonet.com.br>:

> Alexandre, a instabilidade deve ter sido por quem usou script para
> habilitar o CT.
>
> Testes de atualização de FW para 5.6.5 feitos por nos por mais de uma
> versão diferente, tanto XM quanto XW, que estão com CT habilitado por linha
> de comando e todos foram bem sucedidos.
>
> Agora vamos atualizar tudo de hoje para amanha.
>
> --
>
> Atenciosamente,
> Raul Olive Eler
> raul at novonet.com.br
> CEO Novonet
>
>
> “AVISO DE CONDIFENCIALIDADE: A presente mensagem, suas continuações,
> antecedentes e seus eventuais anexos são de uso privativo e exclusivo de
> pessoas físicas e/ou jurídicas, entidades e órgãos autorizados por Acesse
> Fácil Telecomunicações LTDA e podem conter informações confidenciais e/ou
> privilegiadas. Fica terminantemente vedado copiar, mostrar, modificar,
> divulgar ou se beneficiar, mediata ou imediatamente, direta ou
> indiretamente, destas informações sem a autorização de seus criadores e
> autores. Caso este e-mail tenha sido recebido por engano, por obséquio,
> informe o remetente e apague/delete a mensagem imediatamente. Acesse Fácil
> Telecomunicações LTDA terá e se valerá do direito de pleitear reparação
> material, moral e de todas as ordens e níveis pelos danos causados pela
> utilização indevida das informações e de requisitar a aplicação das
> penalidades cabíveis e previstas na legislação brasileira vigente.”
>
>
> -----Mensagem original-----
> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Alexandre J.
> Correa (Onda)
> Enviada em: quinta-feira, 19 de maio de 2016 08:48
> Para: Grupo de Trabalho de Engenharia e Operacao de Redes
> Assunto: Re: [GTER] RES: Script remoção virus UBNT - ** remove e atualiza
> **
>
> Criei uma versão separada que ativa o CT para não interferir em quem não
> usa, bem como a troca das portas principalmente do SSH que conflitava com
> radios que usavam DMZ.
>
> O motivo da retirada do CT foi que alguns reportaram problemas ao
> ativarem, então eu removi e fiz separado.
>
> Jorge Luiz, qual seu usuário lá no github ? posso add você lá .. estou
> tentando rescrever o script mas não está sobrando tempo !!!
>
>
> Em 19/05/2016 00:00, Jorge Luiz Taioque escreveu:
> > testando os scripts acabei escrevendo algumas linha a mais que podem
> ajudar
> > todos
> >
> > não fiz um pull no projeto do Alexandre mas acredito que de para todos
> > implementarem sem problemas
> >
> > Um for para um classe maior de IPS onde é possivel definir o tamanho da
> > classe.
> > A complexabilidade do algorítimo aumenta mas pega todos os ips da rede
> > configurada.
> >
> > network="10.0."
> > ip3="0 2"
> > ip4="1 255"
> >
> > for ip3l in $(seq $ip3) ;do
> >          for ip4l in $(seq $ip4) ;do
> >                  echo "$network$ip3l.$ip4l";
> >          done
> > done
> >
> > Alem de criar o arquivo CT para habilitar o compliance test também altero
> > as configurações do radio para subir com esse country code.
> >
> > cat /tmp/system.cfg | sed -e
> > 's/radio.countrycode=[^[:space:]]\+/radio.countrycode=511/g' | sed -e
> > 's/radio.1.countrycode=[^[:space:]]\+/radio.1.countrycode=511/g' >
> > /tmp/system2.cfg;
> > mv /tmp/system2.cfg /tmp/system.cfg
> > /bin/cfgmtd -w -p /tmp/;
> > touch /etc/persistent/ct
> > /bin/cfgmtd -w -p /etc/;
> >
> >
> > E para gerar os logs e saber qual AP estava infectada para uma posterior
> > confirmação manual ou por script enfio um IF para radio checando se o
> > arquivo mf.tar (da para alterar para o .mf)  se existir o arquivo ele
> envia
> > a linha com o usuário PPPOE do radio e IP configurado na PPP0 pode ser o
> IP
> > de qualquer interface.
> >
> > sshpass -p $PASSWORD ssh -oConnectTimeout=10 -oStrictHostKeyChecking=no
> > $USERNAME@$IP"
> > if [ -e /etc/persistent/mf.tar ]; then
> > username=\$(cat /tmp/system.cfg |grep ppp.1.name=);
> > ip=\$(ifconfig ppp0 | awk '/inet addr/{print substr(\$2,6)}');
> > echo \"\$username \$ip INFECTADO\";
> > fi;
> > trigger_url
> > https://raw.githubusercontent.com/ajcorrea/cleanmf/master/cleanmfv3.sh
> | sh;"&
> >> log.txt
> > O resultado do IF contendo username e IP são guardados no arquivo log.txt
> > apenas dos radios infectados com o MF.
> >
> >
> > E se abrir esse projeto o GITUB até o fim da semana tem um sistema que
> faz
> > tudo rsrsrs
> >
> >
> > Abs.
> >
> >
> > [] 's
> >
> > -------------------------------------------------------------------------
> > *Jorge L. Taioque*
> > www.networktips.com.br
> > jorge [at] networktips [dot] com [dot] br
> > jorgeluiztaioque [at] gmail [dot] com
> >
> > *"Simplicity is the first step to knowledge"*
> > -------------------------------------------------------------------------
> >
> >
> >
> > 2016-05-18 22:00 GMT-03:00 Gabriel Siena <tecgsiena at gmail.com>:
> >
> >> Alexandre, eu vi que no changelog do seu script que foi removido o
> >> Compliance Test na versão 5.6.5 , depois foi criado um outro script com
> a
> >> opção de ativar novamente. Voce teve problemas com Compliance Test na
> >> versão 5.6.5 ? o que ocorreu?
> >> Na versão 5.6.4 esta OK o Compliance Test ?
> >>
> >> Em 18 de maio de 2016 18:23, Alexandre J. Correa (Onda) <
> >> alexandre at onda.net.br> escreveu:
> >>
> >>> https://github.com/ajcorrea/cleanmf/blob/master/cleanmf.sh
> >>>
> >>> Fiz esta alteração hoje mais cedo !!!
> >>>
> >>>
> >>>
> >>> Em 18/05/2016 14:11, Gabriel Siena escreveu:
> >>>
> >>>> Pessoal, uma sugestão, seria possível implantar nos scripts a
> >> verificação
> >>>> de IPS com final 0 e 255 , muitos provedores que utilizam autenticação
> >>>> PPPoE nos clientes utiliza esses IPS, inclusive nós aqui , rs.
> >>>> Em 18 de mai de 2016 11:26 AM, "Elizandro Pacheco [ Pacheco Tecnologia
> >> ]"
> >>>> <
> >>>> elizandro at pachecotecnologia.net> escreveu:
> >>>>
> >>>>
> >>>> Eu estou utilizando um scanner que fiz em python e que aceita blocos
> de
> >>>> qualquer tamanho, quem quiser ver:
> >>>>
> >>>> https://github.com/elizandropacheco/ubntcleanermf
> >>>>
> >>>> Se o alexandre permitir, posso portar o script pra python e organizar
> >>>> melhor.. com funções de log, etc…
> >>>>
> >>>>
> >>>> Um abraço,
> >>>>
> >>>> Elizandro Pacheco
> >>>>
> >>>>
> >>>> Em 17 de mai de 2016, à(s) 07:48, Fernando Amatte <famatte at gmail.com>
> >>>> escreveu:
> >>>>
> >>>>> Senhores, bom dia.
> >>>>>
> >>>>> Alguem teria copia do malware em questao  para analise ?
> >>>>>
> >>>>> Abraços
> >>>>>
> >>>>> Fernando Amatte
> >>>>>
> >>>>> 2016-05-16 20:10 GMT-03:00 Tiago Furbeta <tfurbeta at cangere.com.br>:
> >>>>>
> >>>>> aproveitando o gancho, Alexandre é um cara que está sempre alerta e
> >>>>>> prestativo, profissional altamente gabaritado com vasta experiência
> >> nas
> >>>>>> mais diversas áreas. obrigado pelas suas valiosas contribuições.
> >>>>>>
> >>>>>> abraço
> >>>>>>
> >>>>>> Em 16 de maio de 2016 15:37, Rogerio Alves <
> rogerioapedroso at gmail.com
> >>>>>> escreveu:
> >>>>>>
> >>>>>> Venho aqui agradecer ao Alexandre J. Correa, pois graças ao
> esforço  e
> >>>>>>> inteligência dele, estou conseguindo dar uma organizada na bagunça
> >> que
> >>>>>>> a
> >>>>>>> UBNT fez e não conseguiu ao menos fazer uma ferramenta que preste!
> >>>>>>>
> >>>>>>> Att. Rogerio Alves
> >>>>>>>
> >>>>>>> Em 16 de maio de 2016 14:15, Gabriel Mineiro <mineiro at tca.com.br>
> >>>>>>> escreveu:
> >>>>>>>
> >>>>>>> Ninguém está limpando a pasta /var/tmp/upload? A menos não vi nos
> >>>>>>> scripts
> >>>>>>> sugeridos. O aplicativo da Ubnt não remove.
> >>>>>>>> Gabriel Mineiro
> >>>>>>>> www.tca.com.br
> >>>>>>>>
> >>>>>>>> -----Mensagem original-----
> >>>>>>>> De: gter [mailto:gter-bounces at eng.registro.br] Em nome de
> Guilherme
> >>>>>>>> Ganascim
> >>>>>>>> Enviada em: segunda-feira, 16 de maio de 2016 07:53
> >>>>>>>> Para: Grupo de Trabalho de Engenharia e Operacao de Redes <
> >>>>>>>> gter at eng.registro.br>
> >>>>>>>> Assunto: Re: [GTER] Script remoção virus UBNT - ** remove e
> atualiza
> >>>>>>>> **
> >>>>>>>>
> >>>>>>>> Para quem estiver com problema, estou usando um FOR para limpar
> tudo
> >>>>>>>> de
> >>>>>>>> uma vez, troca a porta e desativa o HTTPs e coloca um LOG para
> >>>>>>>>
> >>>>>>> verificar
> >>>>>>> depois;
> >>>>>>>> ##
> >>>>>>>> for IP in `cat ips`;do sshpass -p ‘ubnt’  ssh -o "ConnectTimeout
> 15"
> >>>>>>>> -o
> >>>>>>>> "StrictHostKeyChecking no" -o "UserKnownHostsFile=/dev/null" ubnt@
> >> $IP
> >>>>>>>> -p22 'cd /etc/persistent/ ; rm mf.tar; rm rc.poststart ; rm -R
> .mf ;
> >>>>>>>>
> >>>>>>> sed
> >>>>>>> -i
> >>>>>>>
> >>>>>>>> 's/sshd.port=22/sshd.port=2222/g' /tmp/system.cfg;echo
> httpd.port=81
> >>>>>>>> /tmp/system.cfg;echo httpd.https.status=disabled >>
> /tmp/system.cfg;
> >>>>>>>>
> >>>>>>> cfgmtd
> >>>>>>>
> >>>>>>>> -p /etc/persistent/ -w ; cat /tmp/system.cfg | grep
> wireless.1.ssid
> >> |
> >>>>>>> grep
> >>>>>>>
> >>>>>>>> mot && echo "NAO DEU"  || reboot' >> /tmp/analise.log 2>&1  &
> sleep
> >>>>>>>>
> >>>>>>> 1;done
> >>>>>>>
> >>>>>>>> Obrigado
> >>>>>>>>
> >>>>>>>> 2016-05-15 18:32 GMT-03:00 Elizandro Pacheco [ Pacheco Tecnologia
> ]
> >> <
> >>>>>>>> elizandro at pachecotecnologia.net>:
> >>>>>>>>
> >>>>>>>> Ferramenta Oficial:
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>>>
> >> http://community.ubnt.com/t5/airMAX-General-Discussion/Malware-Removal
> >>>>>>> -Tool-05-15-2016/m-p/1564953#U1564953
> >>>>>>>>>
> >>>>>>>>> Poderiam unir as threads né?
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>>> Elizandro Pacheco
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>>> Em 15 de mai de 2016, à(s) 14:32, Diego Canton de Brito <
> >>>>>>>>> diegocanton at ensite.com.br> escreveu:
> >>>>>>>>>
> >>>>>>>>>> Obrigado Alexandre, atualizado
> >>>>>>>>>>
> >>>>>>>>>> Em 2016-05-15 02:34, Alexandre J. Correa (Onda) escreveu:
> >>>>>>>>>>
> >>>>>>>>>> Versão que remove e atualiza o rádio
> >>>>>>>>>>> #!/bin/sh
> >>>>>>>>>>> #ajcorrea
> >>>>>>>>>>>
> >>>>>>>>>>> /bin/sed -ir '/mcad/ c ' /etc/inittab /bin/sed -ir '/mcuser/ c
> '
> >>>>>>>>>>> /etc/passwd /bin/rm -rf /etc/persistent/https /bin/rm -rf
> >>>>>>>>>>> /etc/persistent/mcuser /bin/rm -rf /etc/persistent/mf.tar
> /bin/rm
> >>>>>>>>>>> -rf /etc/persistent/.mf /bin/rm -rf
> /etc/persistent/rc.poststart
> >>>>>>>>>>> /bin/rm -rf /etc/persistent/rc.prestart /bin/kill -HUP
> >> `/bin/pidof
> >>>>>>>>>>> init` /bin/kill -9 `/bin/pidof mcad` /bin/kill -9 `/bin/pidof
> >>>>>>>>>>>
> >>>>>>>>>> init`
> >>>>>>> /bin/kill -9 `/bin/pidof search` /bin/kill -9 `/bin/pidof mother`
> >>>>>>>>>>> /bin/kill -9 `/bin/pidof sleep` /bin/cfgmtd -w -p /etc/
> >>>>>>>>>>>
> >>>>>>>>>>> versao=`cat /etc/version | cut -d'.' -f1` cd /tmp
> >>>>>>>>>>>
> >>>>>>>>>>> if [ "$versao" == "XM" ]; then
> >>>>>>>>>>> URL='
> >>>>>>>>>>>
> >>
> http://dl.ubnt.com/firmwares/XN-fw/v5.6.4/XM.v5.6.4.28924.160331.1253.bin
> >>>>> '
> >>>>> wget $URL
> >>>>>>>>>>> ubntbox fwupdate.real -m /tmp/XM.v5.6.4.28924.160331.1253.bin
> >>>>>>>>>>> else
> >>>>>>>>>>> URL='
> >>>>>>>>>>>
> >>
> http://dl.ubnt.com/firmwares/XW-fw/v5.6.4/XW.v5.6.4.28924.160331.1238.bin
> >>>>> '
> >>>>> wget $URL
> >>>>>>>>>>> ubntbox fwupdate.real -m /tmp/XW.v5.6.4.28924.160331.1238.bin
> >>>>>>>>>>> fi
> >>>>>>>>>>>
> >>>>>>>>>>> Diego Canton, atualiza o GITHUB lá que este procedimento já
> ajuda
> >>>>>>>>>>>
> >>>>>>>>>> bastante a galera...
> >>>>>>>>>> --
> >>>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>>>>
> >>>>>>>>> --
> >>>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>>>
> >>>>>>>>>
> >>>>>>>> --
> >>>>>>>> Guilherme Ganascim
> >>>>>>>> Mobile: +554399526000
> >>>>>>>> --
> >>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>> --
> >>>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>>
> >>>>>>>> --
> >>>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>>
> >>>>>>>
> >>>>>> --
> >>>>>> Att.
> >>>>>>
> >>>>>> Tiago N. Furbeta
> >>>>>> Cangere Online - (35) 3853-3100
> >>>>>> tfurbeta at cangere.com.br
> >>>>>> --
> >>>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>>
> >>>>>> --
> >>>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>>
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>> --
> >>>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>>
> >>>
> >>> --
> >>> Sds.
> >>>
> >>> Alexandre Jeronimo Correa
> >>> Onda Internet
> >>> Office: +55 34 3351 3077
> >>> www.onda.net.br
> >>>
> >>> --
> >>> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>>
> >> --
> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> >>
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
>
>
> --
> Sds.
>
> Alexandre Jeronimo Correa
> Onda Internet
> Office: +55 34 3351 3077
> www.onda.net.br
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list