#  > Telecomunicações >  > Ubiquiti >  >  Virus Ubnt Dezembro 2016

## lucasmarquessgs

No dia 13/12/2016 nosso provedor foi atacado mais uma vez por hacks que atacam radios da Ubiquiti. Nossos radios resetaram de fabrica e nao conseguiamos atualizar eles nem modificar a senha default alguem teve o mesmo problema ou algo parecido 


Sent from my iPhone using UnderLinux

----------


## sphreak

So com alguns radios de clientes que ainda estavam em versão anterior a 5.5.10

Enviado via SM-J110L usando UnderLinux App

----------


## lucasmarquessgs

> So com alguns radios de clientes que ainda estavam em versão anterior a 5.5.10
> 
> Enviado via SM-J110L usando UnderLinux App


Entao nossos radios mesmo os que estão com a versão 5.6.9 esta pegando o virus


Sent from my iPhone using UnderLinux

----------


## jlima2001

Isto non equisiste... és puro charlatanismo...

----------


## jcmaster85

Varias e varias antenas com a versão 5.6.9 todas infectadas e rodando script, o que notei é as que estão com ssh desativado não foram afetadas, agora as outras que estão com ssh independente da porta foram infectadas e o detalhe é que ela reseta e depois na nova configuração não deixa trocar a senha e depois por acesso remoto a senha para mim todas foram mother e fucker.

----------


## lucasmarquessgs

> Isto non equisiste... és puro charlatanismo...


Cara Existe sim e estamos vivendo essa realidade aqui


Sent from my iPhone using UnderLinux

----------


## lucasmarquessgs

> Varias e varias antenas com a versão 5.6.9 todas infectadas e rodando script, o que notei é as que estão com ssh desativado não foram afetadas, agora as outras que estão com ssh independente da porta foram infectadas e o detalhe é que ela reseta e depois na nova configuração não deixa trocar a senha e depois por acesso remoto a senha para mim todas foram mother e fucker.


Isso mesmo que está acontecendo e nao conseguimos atualizar tambem pelo navegador conseguimos apenas depois q fazemos o upload da atualizacao e por ssh mandamos o comando /sbin/fwupdate -m e so assim para atualizar


Sent from my iPhone using UnderLinux

----------


## lucasmarquessgs

Alguem mais com esse problema???


Sent from my iPhone using UnderLinux

----------


## LinkDedicado-BRASIL

> Isto non equisiste... és puro charlatanismo...


Se informe ou pesquise antes, existem varios relatos inclusive esta ocorrendo conosco.

Anderson

----------


## LinkDedicado-BRASIL

Este problema também esta ocorrendo com o firmware 5.6.9, meus rádios infectados estão nesta versão.

Ainda não encontramos a solução, apenas substituímos os rádios.

----------


## LinkDedicado-BRASIL

https://forum-pt.ubnt.com/discussion...virus-dez-2016

----------


## Bruno

Que legal mais uma vez a ubnt vem ferrar a nossa vida,
estou com alguns clientes assim, simplesmente tu não faz mais nada na antena a tarde vou pegar elas e tentar atualizar por ssh se eu tiver acesso por ssh né

----------


## lucasmarquessgs

Versao q ate agora nao vi virus 5.6.8


Sent from my iPhone using UnderLinux

----------


## ubiquiti50

Tengo el mismo problema. Además después de resetearlo no puedo cambiar la contraseña queda siempre con ubnt ubnt

----------


## lucasmarquessgs

Pessoal estou apos estar resetado para limpar o equipamento basta fazer o upload da atualizacao 5.6.8 e na hora de clicar em atualizar vc manda o comando pelo putty q acessa o equipamento por ssh ai vc mando o comando /sbin/fwupdate -m ai sim vcs vao conseguir atualizar o equipamento e limpar ele e depois disso deixa habilitado a função block acesso pelo wan pronto resolvido o problema


Sent from my iPhone using UnderLinux

----------


## wagnernascimento

Esse novo worm está acessando via ssh ? e se deixar o ssh desativado.

----------


## lucasmarquessgs

Nao sabemos por onde é o ataque por isso estamos deixando o acesso pela wan bloqueado para nao ter acesso de jeito algum ao radio


Sent from my iPhone using UnderLinux

----------


## hardboot

Esses rádios não estariam com senha default? Tem os roteadores tplink que quando tem a senha default acabam tendo seu DNS alterado

Enviado via Moto G (4) usando UnderLinux App

----------


## lucasmarquessgs

Nao estao todos com senhas alternadas. Chegamos a pegar alguns casos de roteadores q foram mudados os SSID mas foi apenas poucos casos 


Sent from my iPhone using UnderLinux

----------


## hardboot

👏👏👏

Enviado via Moto G (4) usando UnderLinux App

----------


## Madyson

Na nossa empresa apareceu este mesmo problema (vírus), a solução foi fazer o reset manual direto no botão do equipamento. Depois de fazer o reset usamos o software TFTPD32 para fazer a atualização do equipamento, sugiro que usem a versao anterior 5.6.8 para atualizar.

----------


## lucasmarquessgs

> boa noite, não sei qual meu sentimento de ver que vários "profissionais" da área de redes não faz o minimo de segurança para se prevenir de atacas, a culpa não é da ubnt e de nenhuma marca, a culpa são de vocês mesmos, não fazem um minimo para evitar esses ataques, "tenho cpe da ubnt na versão 5.2 rodando sem problemas" isso sempre vai existir e nunca vai acabar, esta no DNA da internet, isso faz parte da vida da rede mundial de computadores, vejo vários provedores que tem ASN, e se vc pegar o bloco de IP desse provedor e digitar ip no browser a tela de conf da antena já abre solicitando usuário e senha, isso é uma falha terrível, isso é uma brecha, aposto que todos os funcionários de vocês tem acesso aos rádios de vocês da onde eles acessarem, tem que adotar medidas de segurança, controle de firewall e não só copiar e colar regras, isso mostra a fragilidade que existe no provedor, que não tem nenhum profissional conhecedor da área, ou não contratam ninguém pra esse fim, ou uma empresa especializada pra isso, e quem paga o pato no final é o cliente e a culpa vai ser sempre da UBNT do Karate etc...


Cara Você está certo em alguns aspectos que falou mas nossa empresa trabalha com outras marcas de Radio como Mikrotik e intelbras e nunca tivemos nenhum problema de ataque nesses radio. E mesmo nos bloqueando no primeiro ataque q teve portas de uso comum como 80 22 443 23 8080 de acesso externo ocorreu o ataque novamente entao que bom q que você nao teve nenhuma ocorrência na sua Rede. Podemos até ter algumas falhas mas na minha opinião a principal é a do fabricante e so um detalhe entramos em contato com o suporte deles nao sabiam nem dizer oque estava acontecendo muito menos a solucao. E nao sei se viu no site dele estão "pagando recompensas" pra quem acha falhas nos equipamentos deles!!!!


Sent from my iPhone using UnderLinux

----------


## jcmaster85

Amigo você não sabe o que ta falando, trabalhei por quase 6 anos na OI antiga Brasil Telecom na area de redes e ADSL, ta certo que eu e meus colegas trabalhavamos em ultima milha eramos peão da empresa, mas voce acha que a OI não tem equipe tecnica qualificada para manter a rede deles "segura"??? Te digo que cansei te pegar BDs(bilheite de defeito) em massa por problemas de virus 10/20 num dia, colocava um modem novo e levava o velho, e o que o virus fazia?? simplesmente deletava o firmawire do modem, o modem virava um zumbi somente com o power aceso outros simplesmente resetevam, e como exemplo varios provedores dos EUA, voce vai la no forum ubnt internacional tem provedor de 5mil usuarios,3mil usuarios UBNT e com a mesma queixa, voce fala que nunca pegou virus em sua rede, eu tenho cerca de 450ubnts em minha rede, hoje desses ubnts desde aquela primeira remessa do virus mother fucker peguei em cerca de 200 a 250 equipamentos, e porque os outros 200 não pegaram??? se todos estão exatamente com a mesma configuração, todos com IPs validos, todos com acesso externo, todos com porta ssh ativa porem não a pádrao pois preciso usar o aircontrol para dar comandos aos equipamentos, resumindo, tenho cerca de 800 intelbras 300mk e 450ubnts e esse problema de reset so da em ubnt!!! No forum oficial eles falaram atualize seu equipamento para a ultima versão que ela não roda script é totalmente segura vão na fé, te falo que todas as resetadas estão justamente com a ultima versão 5.6.9 a ultima disponivel e todas com a porcaria do script rodando, pra mim não tem o que fazer com a ubnt, essa variante do virus vai ser solucionada e logo vai aparecer outra porque tem tanta gente puta com a UBNT que ja devem ta bolando alguma coisa nova, se ja não tiver pronto.




> boa noite, não sei qual meu sentimento de ver que vários "profissionais" da área de redes não faz o minimo de segurança para se prevenir de atacas, a culpa não é da ubnt e de nenhuma marca, a culpa são de vocês mesmos, não fazem um minimo para evitar esses ataques, "tenho cpe da ubnt na versão 5.2 rodando sem problemas" isso sempre vai existir e nunca vai acabar, esta no DNA da internet, isso faz parte da vida da rede mundial de computadores, vejo vários provedores que tem ASN, e se vc pegar o bloco de IP desse provedor e digitar ip no browser a tela de conf da antena já abre solicitando usuário e senha, isso é uma falha terrível, isso é uma brecha, aposto que todos os funcionários de vocês tem acesso aos rádios de vocês da onde eles acessarem, tem que adotar medidas de segurança, controle de firewall e não só copiar e colar regras, isso mostra a fragilidade que existe no provedor, que não tem nenhum profissional conhecedor da área, ou não contratam ninguém pra esse fim, ou uma empresa especializada pra isso, e quem paga o pato no final é o cliente e a culpa vai ser sempre da UBNT do Karate etc...

----------


## LucianoJr

Bom dia, alguém sabe se essa atualização de firmware novo da UBNT corrigiu os problemas do vírus ?

https://www.ubnt.com/download/airmax-m/nanobeamm

----------


## lucasmarquessgs

> Bom dia, alguém sabe se essa atualização de firmware novo da UBNT corrigiu os problemas do vírus ?
> 
> https://www.ubnt.com/download/airmax-m/nanobeamm


No forum da Ubnt tem algumas pessoas falando que mesmo na versao 6.0 beta tambem pegaram Virus e resetou os equipamentos.


Sent from my iPhone using UnderLinux

----------


## LinkDedicado-BRASIL

> boa noite, não sei qual meu sentimento de ver que vários "profissionais" da área de redes não faz o minimo de segurança para se prevenir de atacas, a culpa não é da ubnt e de nenhuma marca, a culpa são de vocês mesmos, não fazem um minimo para evitar esses ataques, "tenho cpe da ubnt na versão 5.2 rodando sem problemas" isso sempre vai existir e nunca vai acabar, esta no DNA da internet, isso faz parte da vida da rede mundial de computadores, vejo vários provedores que tem ASN, e se vc pegar o bloco de IP desse provedor e digitar ip no browser a tela de conf da antena já abre solicitando usuário e senha, isso é uma falha terrível, isso é uma brecha, aposto que todos os funcionários de vocês tem acesso aos rádios de vocês da onde eles acessarem, tem que adotar medidas de segurança, controle de firewall e não só copiar e colar regras, isso mostra a fragilidade que existe no provedor, que não tem nenhum profissional conhecedor da área, ou não contratam ninguém pra esse fim, ou uma empresa especializada pra isso, e quem paga o pato no final é o cliente e a culpa vai ser sempre da UBNT do Karate etc...


Tempos atras estava na mesma situação que a sua, julgava a rede que administro contra falhas.
Mas erros ocorrem, falha de um tecnico em campo pode causar tais problemas com um pequena vunerabilidade, por tanto não fico dizendo que minha rede é 100% segura. 


Com erros de outros administradores tambem se aprende, e digo que muito, pelo menos pra mim.


Da minha rede, tenho ASN com 3 mil IPs válidos, utilizo firewall para bloqueio das principais ações e ataques especificos direto a clientes.


*rpassistencia,* voce cita que o radio ser acessivel da rede externa é uma fragilidade, poderia informar como faz o bloqueio para a rede externa.


Desde já grato.

----------


## LinkDedicado-BRASIL

> No forum da Ubnt tem algumas pessoas falando que mesmo na versao 6.0 beta tambem pegaram Virus e resetou os equipamentos.
> 
> 
> Sent from my iPhone using UnderLinux


Ontem as 23:50hs tivemos uma enxurrada de equipamentos que ficaram sem acesso.


Aqui o ataque iniciou na versão XM... ontem localizamos tambem na XW na versão 5.6.9.


Ja estou com quase todos em 6.0, identificamos que todas as versões estão aptas a ter este virus, abri chamado na UBNT Internacional no dia 13/12 porem até o momento não identificaram uma possivel solução.


Meu maior problema é que possuo clientes de anos que usam final de semana ou madrugada e ainda estão com versões anterior a 5.6.6.


O Virus esta trabalhando em 4 etapas, se identifica quedas constantes (forçando o cliente a reiniciar), na segunda etapa o acesso esta normal com arquivo mf.tgz, na terceira etapa o acesso permanece porem sem funções e ja possui identificação de invadido, na quarta em alguns casos o acesso permane com senha alterada e o mais grave equipamento sem comunicação (apenas mediante TPFP)

----------


## TheGodfather

Desculpem se eu estiver falando asneira aqui... Mas será que é possível "baixar de forma segura" esse vírus no pc e analisá-lo? Verificar o código dele e ver como trabalha?

----------


## TheGodfather

Tenho dois que pararam ontem de 13:56. Trouxe pra casa para atualizar via tftp. Mas e se depois que eu colocar na casa do cliente acontecer no outro dia e assim por diante?

----------


## TheGodfather

> na verdade por questão de padrão todos meus equipamentos ubnt estão com a versão 5.6.4... pois ainda nessa versão eu tenho como ter uma grade de canais maior que meu concorrente... pois ele foi forçado pelo vírus a realizar as ultimas atualizações, onde não é mais possível fazer o compliance test, isso ate onde sei... parece que não mais possível fazer essa manobra com as versões recentes.



Tenho aqui uns ubnt com a versão 5.6.9 e uso normalmente o CT.

----------


## lucasmarquessgs

> na verdade por questão de padrão todos meus equipamentos ubnt estão com a versão 5.6.4... pois ainda nessa versão eu tenho como ter uma grade de canais maior que meu concorrente... pois ele foi forçado pelo vírus a realizar as ultimas atualizações, onde não é mais possível fazer o compliance test, isso ate onde sei... parece que não mais possível fazer essa manobra com as versões recentes.


Para Ativar o compliance test é mesmo nas últimas versões basta acessar via ssh e digitar o comando touch /etc/persistent/ct depois save e depois reboot


Sent from my iPhone using UnderLinux

----------


## jodrix

> boa noite a todos, acredito que não é somente eu, mas deve ter uma parcela aqui também de profissionais que não divulgam a receita secreta do seu sucesso, resumindo, se eu postar aqui o que realizo na minha rede, estou abrindo brechas para que meu concorrente pegue tudo mastigado, e dessa forma o meu diferencial fica prejudicado, enfim, sou formado em administração de redes e segurança em dados, durante toda época do meu curso eu nunca tinha ouvido falar em mikrotik, somente em sistemas baseados em linux onde conseguíamos árdua montar e configurar um bom firewall, fui gerente de Ti de uma Grande empresa multinacional, e nas férias que tive conheci uma região carente de internet, pedi conta dessa empresa e me aventurei no mundo ISP, foi onde conheci o Mikrotik, que pra mim é bem mais funcional que o Cisco, na verdade um router mikrotik bem configurado não perde em nada para um Cisco, e assim pude aplicar com eficiência toda a teoria que aprendi na minha época de faculdade, por isso nunca tive problemas com vírus etc, e infelizmente por questão de mercado e concorrência eu não posso ficar aqui passando tudo que sei, de fato eu sei que la dentro do intimo de vocês vão saber do que se trata... a dica é simplesmente estudar sobre protocolos de rede, principalmente o que mais usamos o TCP/IP, e estudar muito sobre firewall... entender na acescência realmente como um pacote é tratado...


Amigo respeito seus conhecimentos, mas gostaria de lembrar que este e um fórum para troca de informações, existe uma área especifica destinada a venda de serviços que é os classificados *,O sol nasce para todos, mas brilha mais para aqueles que acreditam que o amanhã será sempre melhor que hoje, e a solidariedade ainda é a melhor virtude de um ser humano... assim falou o poeta...
*
Quanto a UBNT, ja deixei de usar a muito tempo, e nao foi por conta de vírus nao, outros problemas como perda de potencia, queima de porta Lan e por ai vai, tive mais de 300 equipamentos com perda de potencia em uma das polaridades, ocasionando lentidão na celula onde estava conectado, ainda tenho alguns sobreviventes e nenhum pegou o tal virus, uso IPs Publicos porem com o SSH desativado , a porta 443 (https) destivada e a porta 80 eu uso la pra cima tipo 9036, medidas simples assim ja são o suficiente para evitar danos maiores. 

Mas ao meu ver todas essas medidas são mais* REMENDOS do que Falhas de Segurança*, se vc precisa ter um especialista em segurança, fazendo regras e mais regras, tem coisa errada e nao e com a segurança. Empresas como a Mikrotik por exemplo, nunca ouvi falar que teve sua segurança quebrada, existem sim updates para correção de bugs mas nao de segurança. Já a UBNT existem até Exploits que exploram suas falhas e vulnerabilidades como Metasploit ou Armitage.

----------


## LinkDedicado-BRASIL

> boa noite a todos, acredito que não é somente eu, mas deve ter uma parcela aqui também de profissionais que não divulgam a receita secreta do seu sucesso, resumindo, se eu postar aqui o que realizo na minha rede, estou abrindo brechas para que meu concorrente pegue tudo mastigado, e dessa forma o meu diferencial fica prejudicado, enfim, sou formado em administração de redes e segurança em dados, durante toda época do meu curso eu nunca tinha ouvido falar em mikrotik, somente em sistemas baseados em linux onde conseguíamos árdua montar e configurar um bom firewall, fui gerente de Ti de uma Grande empresa multinacional, e nas férias que tive conheci uma região carente de internet, pedi conta dessa empresa e me aventurei no mundo ISP, foi onde conheci o Mikrotik, que pra mim é bem mais funcional que o Cisco, na verdade um router mikrotik bem configurado não perde em nada para um Cisco, e assim pude aplicar com eficiência toda a teoria que aprendi na minha época de faculdade, por isso nunca tive problemas com vírus etc, e infelizmente por questão de mercado e concorrência eu não posso ficar aqui passando tudo que sei, de fato eu sei que la dentro do intimo de vocês vão saber do que se trata... a dica é simplesmente estudar sobre protocolos de rede, principalmente o que mais usamos o TCP/IP, e estudar muito sobre firewall... entender na acescência realmente como um pacote é tratado...


Se acha que segurança é ocultar informações, sendo que não te conheço, você não divulga nome do Provedor, não sei qual região do pais ou exterior que se encontra, se preocupa mais com seu concorrente que provavelmente nem sabe quem você é neste forum.


Para ciencia, recebo ataques em massa todo santo dia, vindo da India, China, USA e Brasil, alem de ter sofrido ataque DDOS, minha rede nunca ficou fora por isso.




Não estamos tratando nem de vunerabilidade do Provedor e sim de equipamentos, toda ajuda e troca de informações são bem vindas.

----------


## LinkDedicado-BRASIL

> Amigo respeito seus conhecimentos, mas gostaria de lembrar que este e um fórum para troca de informações, existe uma área especifica destinada a venda de serviços que é os classificados *,O sol nasce para todos, mas brilha mais para aqueles que acreditam que o amanhã será sempre melhor que hoje, e a solidariedade ainda é a melhor virtude de um ser humano... assim falou o poeta...
> *
> Quanto a UBNT, ja deixei de usar a muito tempo, e nao foi por conta de vírus nao, outros problemas como perda de potencia, queima de porta Lan e por ai vai, tive mais de 300 equipamentos com perda de potencia em uma das polaridades, ocasionando lentidão na celula onde estava conectado, ainda tenho alguns sobreviventes e nenhum pegou o tal virus, uso IPs Publicos porem com o SSH desativado , a porta 443 (https) destivada e a porta 80 eu uso la pra cima tipo 9036, medidas simples assim ja são o suficiente para evitar danos maiores. 
> 
> Mas ao meu ver todas essas medidas são mais* REMENDOS do que Falhas de Segurança*, se vc precisa ter um especialista em segurança, fazendo regras e mais regras, tem coisa errada e nao e com a segurança. Empresas como a Mikrotik por exemplo, nunca ouvi falar que teve sua segurança quebrada, existem sim updates para correção de bugs mas nao de segurança. Já a UBNT existem até Exploits que exploram suas falhas e vulnerabilidades como Metasploit ou Armitage.




UBNT esta deixando a desejar faz tempo, mas não consigo substituir tão prontamente devido ao custo, tempo e mão de obra.


Este problema pelo que vi em outros foruns, principalmente de fora, se instalou em alguma versão antiga e esta se propagando pelo discorery dos radios, ja tenho versões 6.0 infectadas, na versão mais recente esta de propagando muito rapido.


Alguem tem o arquivo infectado e pode postar aqui.... vou tentar achar o IP.

----------


## LinkDedicado-BRASIL

> bom dia a todos, em algum momento o Sr. leu em meus post o sentido de venda? de vender?, acredito que não, deixei claro que não vou postar a solução, solidariedade é uma coisa totalmente diferente do que esta situação se mostra, se estivesse alguém aqui com risco de vida, ou necessitando dos meus conhecimentos para se salvar de uma situação extrema ai sim eu serei solidário, não defendo nenhuma marca, mas digo que os únicos problemas que tive com ubnt forma queima da porta lan porque a antena caiu e encheu de agua, tenho mais de mil cpes instaladas, e meu histórico preciso de rma são de apenas 42 dispositivos com problemas, são mais de 5 anos na area, tenho cpe com mais de 5 anos funcionado, com isso quero dizer na verdade é que existe profissionais e "poficional" existem Provedores e "póvedor ai-fai", e eu não vou colaborar para a prostituição da minha profissão no mercado, mais do que já esta, não vou vender nada, não sou de vender, mesmo porque não preciso disso... sou o tipo de pessoa que apenas diz, se eu estudei e aprendi, todos são capazes, eu não nasci sabendo das coisas eu corri atras e estudei, e aposto com você que 80% das pessoas aqui do forum estão sentadas fazendo outras coisas no seu lazer sem renda de frutos para o futuro prontas para usar o Ctrl+C e Ctrl+V, hoje a solidariedade anda de mãos dadas com a esperteza, pois o malandro esperto, usa do emocional das pessoas de bem, impactando em sua mente a seguinte pergunta: Cade sua Solidariedade Amigo?, e a pessoa de bem em provar o tanto que seu coração é bom e generoso atribui ao questionamento aplicado todo seu conhecimento como resposta, e o malandro esperto SUGA tudo como um parasita, e ainda por cima transfere tal situação para os demais Parasitas igualmente o vírus que alastra os equipamentos da UBNT, e no final vc se torna referencia deles, pois ao contrario de estudar e se esforçar vão ficar sempre te pergunta como resolver, como fazer, etc, vão ate ligar no seu telefone como se fosse amigos íntimos de infância... Infelizmente é assim.


Neste forum conheço tantas pessoas com conhecimento bem profundos em alguns assuntos que auxiliam usuários, não falo dar o peixe, mas dar uma orientação como pescar (digo nem ajudar a pescar).


Com sua expertise faz o que no forum, pelo que entendi não troca informações do que sabe, mas suga que outras pessoas postam.




Deixamos este assunto de lado... ainda tem usuários que precisam de uma luz...

----------


## lucasmarquessgs

> kkkkk eu achava que não tinha jeito mais kkkkk


Cara Boa Noite se Vc se acha tão superior as pessoas que estão no forum e nao quis dizer de jeito nenhum como resolveu o problema e que estuda tanto. E nao sabia como esta no seu post numero 32 que tem um script que ativa novamento o compliance test nas novas versões dos radio ubnt... HUMILDADE é tudo Brother nao vamos levar nada dessa terrar devemos apenas deixar coisas boa kkkkk vlw Bom natal e um prospero ano novo a todos


Sent from my iPhone using UnderLinux

----------


## lucasmarquessgs

> amigão eu não sabia porque não tenho nada na versão atual, e nem parei para tesar isso... se existe que bom... apenas isso...
> outra coisa, não sou sabichão não e nada alem disso, simplesmente tenho um firewall funcional... não é questão de humildade, vc é o que vc é, se vc tem um 1 milhão na conta mostra que tem, se vc sabe jogar bola, vc mostra que sabe.. não é uma questão de humildade, é uma questão de tomar a responsabilidade pra sí e não ficar colocando culpa em equipamentos e marcas... nunca monte um provedor e coloque nele clientes sem que vc tem capacidade de gerir tal situação, olhe pra vc e encare a realidade e tome as rédias da situação...kkkk afinal vc deve ter muitos ubnts infectados para se preocupar kkkk


Cara Gracas a Deus nosso provedor já teve Hoje Nao tem mais. Esta tudo funcionando perfeitamente e se fosse questao de firewall outros equipamentos como mikrotik e intelbras tambem sofreriam ataques. Nao sei se você trabalha Na ubnt mas tem erros nos equipamentos deles.


Sent from my iPhone using UnderLinux

----------


## saldanhabr

bom dia. amigo só uma curiosidade...>

os radios que estao infectados sao todos AIRGRID?

ou tem LITEBEAM no meio?


pois o que percebi que os litebeam nao sofreu ataques no meio do ano apenas os airgrid.

----------


## grupojpr

Aqui até bullet pegou o vírus 
Atualizei a rede toda e troquei a porta SSH e parou os ataques 
Nós Mikrotik coloquei os ips q podem acessar SSH e Telnet

Enviado via D5833 usando UnderLinux App

----------


## RadNet

Bom dia !

Achei que o problema, era só em quem disponibiliza ip fixo para os clientes.... 

Mais aqui na nossa rede, não disponibilizamos ip fixo para os clientes, e estamos perdendo o acesso as antenas.....


Aguardando a ajuda dos amigos, para resolvermos juntos esse problema....

Deus abençoe a todos !

----------


## saldanhabr

bom dia galera.
ontem as 22:28 foram 76 antenas resetadas....
hj os telefones nao param de tocar...
fui agora no primeiro cliente. Tudo normal , porem nao conecta pppoe....
alguem tbm esta recebendo esse ataque?
qual versao para retirar esses virus?

----------


## RadNet

> bom dia galera.
> ontem as 22:28 foram 76 antenas resetadas....
> hj os telefones nao param de tocar...
> fui agora no primeiro cliente. Tudo normal , porem nao conecta pppoe....
> alguem tbm esta recebendo esse ataque?
> qual versao para retirar esses virus?


Amigo aqui o mesmo problema!!

PPPOE não conecta de forma alguma ?

Antena normal....

Perdemos acesso as antenas que fazem o Ponto a Ponto também !

....

----------


## RadNet

> como eu sempre falo e ninguém acredita, isso é falha de segurança... na verdade não é nem problema com a ubnt, é um script feito e padronizado em cima da estrutura do sistema da ubnt, por isso afeta somente os ubnts, não adianta mudar porta ssh, não adiante fechar essas portas etc...


Respeito a sua opinião... Mais não a aceito....

Desculpe amigo a ignorância... Mais já vi essa sua resposta aqui neste post no mínimo uns 5 vezes....

Blz, entende e respeito sua opinião....

Mais tenho uma pergunta pra você. Será que os equipamentos da UBNT, foram projetados, para serem usados somente por "experts", ou "ninjas" em redes. Ou eles também foram projetados, para clientes domésticos, para uso casual, (ex: fazer um ponto a ponto entre minha casa e meu sitio, como temos vários exemplos aqui no fórum. Relatos de pessoas comuns que usam os equipamentos da UBNT para fazer tal tarefa, ponto a ponto simples)... Pessoas que eu tenho certeza que serão afetadas.

Na minha humilde opnião é problema sim da UBNT...

Desde já grato....

----------


## saldanhabr

amigo, se voce disse que isso é uma falha no firewall no meu mk ok.

voce pode me passar uma regra para bloquar isso temporariamente?

----------


## saldanhabr

vou isntalar o skype , 1 instante.

----------


## saldanhabr

A SKYPE FICOU DE me enviar o codigo pra reativar a conta...

mas ate agora nada..

vc pode me add no face???


https://www.facebook.com/saldanha.franson


preciso de ajuda, ficaria grato se conseguir me ajudar

----------


## jcmaster85

Peço desculpas ao amigo pelo post.

----------


## RadNet

> Oh MALABI que tudo sabe, passa o segredo ai pra galera e acaba com o sofrimento de todos, manda suas super regras pro pessoal da ubnt pra eles integrarem nos firmwires ou melhor use seus anos e suas vidas passadas de conhecimento e crie um super script que aniquile o virus ubnt e celebre a paz mundial, por favor poderoso guru contamos com sua ajuda o mercado de provedores esta para se extinguir sem 0,01% do seu conhecimento, você é o melhor, alias entre os melhores você é o melhor e entre os melhores dos melhores você é o melhor.


Mesmo sofrendo aqui.... Rachei de rir aqui kkkkkkkkkkkkkkkkkkkk


Melhor dos melhores......


Desde já grato pelo momento de descontração kkkkkkkk

----------


## FMANDU

Se só atingiu a UBNT é pq existe uma falha de segurança no firmware, disso não ha o que discordar. Pode ate haver falhas nos provedores ao redor do mundo que usam a UBNT e foram atingidos, porem isso não foi uma falha de segurança de rede, foi uma falha no sistema(firmware). E a mesma coisa de dizer que as falhas de segurança da microsoft é sempre culpa do usuário, não é atoa que praticamente toda semana existe atualizações para corrigir essas falhas. A UBNT é a mais utilizada no mundo em seu ramo, logico que muita gente vai tentar explorar as falhas, cabe a empresa reconhecer e trabalhar rápido para corrigir.

----------


## saldanhabr

rpassistencia

Patrao obrigado por me ajudar e explicar a REAL situação da minha rede.
com vc matou a cobra e mostrou o pau realmente só tenho que te agradecer!!!


precisamos de mais pessoas como voce , com intencao de ajudar e nao de ficar fazendo piadinha, pois o nosso trabalho que sustenta a familia.

bem , Deus abencoe pela ajuda!!!

----------


## ricardoandre

Como foi citado, aqui tive alguns equipamentos que tiveram problemas, mas eram equipamentos gerenciados pelos clientes que insistem em pagar para ter um IP PUBLICO para um serviço que roda em um DMZ (NÃO CONSIGO ENTENDER O PORQUE DISSO), cliente é responsável pelo equipamento então responsabilidade dele.
Já questão de firewall é como já foi citado, você tem que ter segurança do que entra e o que sai, normalmente esse é o problema, não existe segurança nenhuma.

Quanto dispor de um script, não há isso. Precisa conhecimento dos serviços vulneráveis a ataques para isso. Não tem bolo pronto, somente a receita.
Alguns dos principais métodos/protocolos para acessar sua rede:
FTP, SSH, TELNET, HTTP, HTTP Alternativo, HTTPS, DNS, PROXY, SNMP, NETBIOS, NTP, PORTMAP, SSDP e por ai vai, tem varios serviços inuteis que não tem necessidade de alguém requisitar de sua rede.
Em geral você quem define o que pode entrar e sair de sua rede. Enviar um script para CTRL+C e CTRL+V é se suicidar, cada rede com seus perfis.




> meus clientes são 100% ubnt, nenhum virus foi detectado 
> poxa amigo, pensa diferente por favor...
> se o virus chegou a a ultima milha é porque ele achou as portas abertas....
> isso é falha de segurança, e vou explicar mais uma vez, afetou apenas ubnt porque o script desse virus foi formulado apenas para os ubnts...
> mude seu pensamento...

----------


## leosixers

@*rpassistencia*,

Pare de falar como se fosse o dono da verdade. Seja humilde, saiba tratar as pessoas de maneira cordeal. A única coisa que eu vi aqui foi você espalhando ódio e merda para todos os lados (A comparação do comportamento da rede com a vida de uma pessoa foi a melhor).

Ter um firewall na borda e bloquear os acessos vindos da rede externa não é última novidade do mercado exatamente. Não precisa ter estudado a vida toda segurança de dados para fazer isso. No entanto é fato que muitos dos nossos colegas não tem esse conhecimento. Se estamos nesse fórum é para pedir ajuda, mas também ajudar. E quando digo ajudar deveria ser de maneira espontânea, sem acreditar que está revelando o maior segredo do mundo. Fosse assim acredito que deverias trabalhar no Google. 

Em relação ao vírus eu vejo sim uma falha de segurança nos equipamentos da UBNT. Você diz que nada tem a ver com eles, mas sabemos que o vírus está utilizando um exploit no SSH deles para executar código malicioso remotamente. E a falha no SSH é deles. As atuais versões desse protocolo para linux não possuem essa brecha. 

Você diz que a solução é ter um firewall na borda e bloquear, no entanto se esquece que o seu próprio firewall é um produto e pode estar sujeito a falhas. Já pensou se existisse um exploit como o da UBNT nas RBs? Vejo muito servidor WEB com SSH aberto na Internet e nem por isso são invadidos. Estão sim, sujeitos a ataques por estarem com a porta aberta, no entanto o protocolo é seguro o suficiente para evitar que ataques como esse que está ocorrendo não tenham sucesso. 

Sei lá, me parece que queira se promover de alguma maneira. Acredito que se tivesse abordado o problema de outra maneira teria sido mais feliz. Vejo você como uma pessoa vazia e acima de tudo sujeita a falhas, reforçado pela auto confiança no "vasto" conhecimento que tens em redes.

----------


## ricardoandre

Desculpe se fui imaturo no comentário. Quando quero dizer um perfil de rede, quero dizer:
Atende a ASN?
Atende seus clientes de que maneira?
Utiliza PPPoE?
Utiliza DHCP?
Fecha eBGP ou iBGP?
Utiliza endereçamento de seu bloco para atender algum de seus cliente?
Faz troca de tráfego para algum cliente?
Atende CDN?
Tem transporte em Layer2 ou Layer3?

Quando citei acima o que voce disse seguir um padrão, era isso. Dependendo do seu estilo de atendimento final pode ser várias maneiras de atendimento a cliente, incluindo ter que deixar um determinado cliente sem nenhum controle de Firewall (ASN, PTT, Dedicado com um /25), cito isto como exemplos.
Pequena dúvida, e se não se importa em dispor a informação, quanto voce tem de trafego em sua rede e que firewall utiliza?

----------


## RadNet

> algum moderador já deu as guarrinhas aqui, onde eu falei algum palavrão kkkkkk
> me faça um favor me exclua daqui de uma vez por todas,,,, apagando todos meus posts e meus álbuns, faça isso de uma vez, estou pedindo por escrito, minha reputação agora é zero, igualmente o numero de virus na minha rede..., e ainda me criticam kkkkkk, tirar onda da minha cara, me chamar de guru e outras mais não reduz reputação de ninguem, mas dizer a verdade dói né, agora vai dizer que te chamar de imparcial é xingar???? "estou escrevendo isso para o moderador que me zerou"kkkkkkk



Mais vamos combinar, que em todo que você escreveu aqui, deu a entender, que você é superior a tudo e a todos.....

Por isso acredito que poucas pessoas pediram a sua ajuda, e deram importância ao que você falou.... 

Desde já grato a todos os amigos!
Vamos juntos achar a solução, quero dormir tranquilo hoje !!
rsrs

----------


## ricardoandre

Aqui é um local para trocarmos conhecimento, só peço que isso seja respeitado.
Quem está com problemas precisa ser ajudado, até o momento tive 3 antenas com problemas, então não posso fornecer muita ajuda. No mais estou acompanhando o tópico e serei util quando tiver uma resposta. :Top:

----------


## ricardoandre

SIm, até o momento 3 clientes, todos sem firewall devido a serem clientes corporativos, com gerência propria.
Vou deixar somente uma opinião quanto a discussão:
Se você altera senha de um OS, altera portas de acesso, tem o sistema atualizado e mesmo assim está sendo afetado, quer dizer que tem vulnerabilidade no OS dos UBNT, firewall protege, mas não corrige essa falha do OS da UBNT!

----------


## RadNet

> não amigo, não sou superior a nada,
> vocês que não consideraram nada que falei, um exemplo foi vc mesmo, olha seus postes antes de mim, se fosse amistoso como o outro colega foi ja teria resolvido isso... pelo contrario, me tratou com desdenha e não dando importância ao fato mencionado por mim, mesmo se eu estivesse errado, pois se alguém falar que minha rede esta de pernas abertas, eu agradeceria e pediria para me orientar... simples assim, não tenho rei na barriga, e não me acho nada, de certa forma fui provocado e apenas revidei a altura.


A questão é a seguinte.... Você desde o começo colocou culpa no servidor....

O problema é que tu, insiste em afirmar que o problema não é nas Ubnt. Como te falei.. Respeito a sua opinião mais eu não a aceito....

E não aceito..... E se fosse em um ambiente normal , usuário domestico, pegar vírus na antena, ele não tem um servidor com Mk para você colocar essa tal regrinha.

O que tu ia falar pra ele. Troca a antena... Espera a Ubnt lançar uma atualização....

Tu fala que ninguém entende o que tu quer dizer.... Mais já parou para analisar o que as pessoas estão te questionando ?

Desde já grato a todos!

----------


## RadNet

> assim entenda uma coisa, o cliente é ultima milha... o dispositivo de rede dele é controlado por vc. pelo seu servidor.
> se ele pega virus de rede? a falha é no provedor, se ele pega virus de software de plataforma windows, linux etc, normal, a falha é dele... o computador dele pode morrer o problema vai ser todo dele, mas se antena dele morre por falhas de segurança o problema é do provedor de acesso...


Esquece........ Você não consegui entende o meu posicionamento sobre a questão acima citada. O problema está em um determinado produto.... Se fosse um problema isolado eu até entenderia mais... São muitas e muitas pessoas passando pelo mesmo problema....

Que Deus ilumine as pessoas aqui deste fórum pra que possamos achar uma solução, que ajude a todos, e que o pessoal a Ubnt consiga fazer uma atualização que resolva o problema...

Desde já grato a todos!

----------


## jcmaster85

Amigo primeiramente peço desculpas pelo post, sei que me alterei um pouco, minhas sinceras desculpas de todo coração, ja estou no forum a um tempinho e sei que não é assim que se resolve as coisas, cara a grande questão que todo mundo ta tentando colocar aqui é que a UBNT garantiu em seu forum oficial que a partir da versão 5.6.5 estava totalmente imune, seguro de tudo,não rodava script nem a pau, e todos nos sabemos que a proliferação do virus esta sendo feita atraves atraves de script na porta ssh independete de qual seja como ja foi dita por outro colega nosso aqui, não duvido dos seus metodos foi apenas sarcasmo de minha parte a unica e confiavel solucão que adotamos aqui foi desativar todo tipo de entrada nas UBNTs ate mesmo a SSH, ja temos cerca de 4 dias que os relatos acabaram, mas perdemos a gerencia em relação a Aircontrol, outro ponto falho é que no forum oficial varios e varios relatos de infecçao atraves do proprio aircontrol ferramenta indicada e homologada pela ubnt para gerenciamento dos seus equipamentos. Mais uma vez mil desculpas pelo sarcasmo, ja passamos tanta raiva no nosso dia a dia tão estressante, não vale a pena cultivar isso, felicidades amigo, desculpe mais uma vez.




> por isso não adianta mudar portas etc, mudar senha etc, tem que tratar essas portas no firewall, aqui uso as minhas tudo default...

----------


## jcmaster85

Ah so lembrando não estou falando isso pois quero sua solução, aqui temos pessoal capacitado pra isso, apenas quis me desculpar por algo que acho que errei, e em relação a sua reputação foi sacanagem pura de quem te tirou, se fosse outra pessoa teria muita mãe de usuario do under de orelha quente por ai, e não houve xingamento de parte alguma, no maximo algumas exaltações e sarcasmos de minha parte, por isso peço por favor a moderação que coloque a reputaçao do nosso colega de volta ou retire a minha pois fui eu que começou essa lambança, desculpe mais uma vez amigo e um feliz ano novo pra todos nos.




> por isso não adianta mudar portas etc, mudar senha etc, tem que tratar essas portas no firewall, aqui uso as minhas tudo default...

----------


## RadNet

Bom dia!

Mais e as antenas que já estão com o virus. Como remover?

Desde já grato!

Fiquem todos com Deus !

----------


## raumaster

Eu acho que boa parcela de culpa é do fabricante sim e estamos caminhando pra um mundo IPV6, onde todo e qualquer dispositivo com IPV6 estará "visível" na net, cada dispositivo deverá ter seu meio de proteção, se for ficar só a cargo do provedor proteger cada gadget de usuário, por exemplo, um GPS com Internet lá do agricultor dentro de seu trator no meio do campo que tem seu sistema conectado na net por meio de IPV6, tá danado a coisa! Quero ver usuário leigo tendo que por firewall em tudo... prevejo um caos quando a maioria leiga tiver com suas dezenas de dispositivos eletrônicos tudo com IPV6 diretamente expostos na Internet...Hoje a maioria dos modens dos usuários de operadoras grandes, tão no modo router, todos dispositivos atrás de NAT, pouca é a porcentagem de usuário que desbloqueia todas portas ou deixa modem em bridge, a maioria nem sabe o que são essas coisas, alguns roteadores já vem com firewall basico ativo e isso quem cuidou foi o fabricante do dispositivo e não o provedor.

----------


## RadNet

Bom dia!

Mais e as antenas que já estão com o virus. Como remover?

Desde já grato!

Fiquem todos com Deus !

----------


## raumaster

Eu acho que boa parcela de culpa é do fabricante sim e estamos caminhando pra um mundo IPV6, onde todo e qualquer dispositivo com IPV6 estará "visível" na net, cada dispositivo deverá ter seu meio de proteção, se for ficar só a cargo do provedor proteger cada gadget de usuário, por exemplo, um GPS com Internet lá do agricultor dentro de seu trator no meio do campo que tem seu sistema conectado na net por meio de IPV6, tá danado a coisa! Quero ver usuário leigo tendo que por firewall em tudo... prevejo um caos quando a maioria leiga tiver com suas dezenas de dispositivos eletrônicos tudo com IPV6 diretamente expostos na Internet...Hoje a maioria dos modens dos usuários de operadoras grandes, tão no modo router, todos dispositivos atrás de NAT, pouca é a porcentagem de usuário que desbloqueia todas portas ou deixa modem em bridge, a maioria nem sabe o que são essas coisas, alguns roteadores já vem com firewall basico ativo e isso quem cuidou foi o fabricante do dispositivo e não o provedor.

----------


## RadNet

Bom dia!

Mais e as antenas que já estão com o virus. Como remover?

Desde já grato!

Fiquem todos com Deus !

----------


## raumaster

Eu acho que boa parcela de culpa é do fabricante sim e estamos caminhando pra um mundo IPV6, onde todo e qualquer dispositivo com IPV6 estará "visível" na net, cada dispositivo deverá ter seu meio de proteção, se for ficar só a cargo do provedor proteger cada gadget de usuário, por exemplo, um GPS com Internet lá do agricultor dentro de seu trator no meio do campo que tem seu sistema conectado na net por meio de IPV6, tá danado a coisa! Quero ver usuário leigo tendo que por firewall em tudo... prevejo um caos quando a maioria leiga tiver com suas dezenas de dispositivos eletrônicos tudo com IPV6 diretamente expostos na Internet...Hoje a maioria dos modens dos usuários de operadoras grandes, tão no modo router, todos dispositivos atrás de NAT, pouca é a porcentagem de usuário que desbloqueia todas portas ou deixa modem em bridge, a maioria nem sabe o que são essas coisas, alguns roteadores já vem com firewall basico ativo e isso quem cuidou foi o fabricante do dispositivo e não o provedor.

----------

