Bom dia,
mais alguem "acordou" com vários equipamentos UBNT resetados hoje (14/05) pela manhã?
Estamos atualizando para ultima versão e a principio tem resolvido o problema.
Versão Imprimível
Bom dia,
mais alguem "acordou" com vários equipamentos UBNT resetados hoje (14/05) pela manhã?
Estamos atualizando para ultima versão e a principio tem resolvido o problema.
Cara ja pegamos uns 10 todos resetados, de acordo com os logs foi por volta de 5:00 da manha.
Citação:
Postado originalmente por jonasklatt
Tambem tive este problema, e ainda estou tendo!
Alguns clientes que reconfigurei, resetaram de novo.
Um virus doido ai nos equipamentos da UBNT. A recomendação é atualizar para ultima versao
como confiar em equipamentos da UBNT esta não e a primeira vez o que acontece . a UBNT tem algo dizer sobre isto
Quais os modelos do equipamentos de voces foram resetados? Tenho dois enlaces usando powerbeam M5 400 e não houve alterações.
Não estou utilizando IP´s válidos pela porta WAN.
Todas as antenas que estiverem com a ultima versão irão resetar, se estão atualizando acreditando que estão resolvendo, terão uma dor de cabeça maior ainda.
reconfigure-a removam o script, e faça o downgrade,
Em um tópico uns dias atrás eu comentei sobre esse virus que alguma pessoa havia postado.
então fica a dica.
Em paralelo, estamos analisando o funcionamento desse script para tentar criar algo que possa ajudar todos..
esta acontecendo na minha rede tbm, ja tive mais de 20 casos, alguém tem mais alguma informação?
Já consegui algumas informações de como o virus funciona. Vou experimentar aqui uma ação se ela executar posto para voces.
Enviado via GT-I9515L usando UnderLinux App
Gente ... tó com o mesmo problema ... esperando uma solução também ...
Cerca de 50 CPE's resetadas e 400 infectados, terminando a limpeza já
Enviado via ASUS_Z00AD usando UnderLinux App
estou logando nas CPE's via ssh e passando os comandos abaixo:
cd /etc/persistent;
rm rc.poststart;
rm -rf .skynet;
rm -rf .mf;
rm -rf mf.tar;
killall -9 search; killall -9 mother; killall -9; sleep;
cfgmtd -w -p /etc/;
reboot;
tem resolvido, depois estou atualizando e normaliza, pelo menos aqui funcionou.
só tive problemas nos equipamentos com versão 5.5.x
recomendo rodar esses comandos abaixo... pois o virus cria usuarios no equipamento.Citação:
Postado originalmente por rjardim
/bin/sed -ir '/mcad/ c ' /etc/inittab
/bin/sed -ir '/mcuser/ c ' /etc/passwd
/bin/rm -rf /etc/persistent/mcuser
/bin/rm -rf /etc/persistent/mf.tar
/bin/rm -rf /etc/persistent/.mf
/bin/rm -rf /etc/persistent/rc.poststart
/bin/rm -rf /etc/persistent/rc.prestart
/bin/kill -HUP `/bin/pidof init`
/bin/kill -9 `/bin/pidof mcad`
/bin/kill -9 `/bin/pidof init`
/bin/kill -9 `/bin/pidof search`
/bin/kill -9 `/bin/pidof mother`
/bin/kill -9 `/bin/pidof sleep`
/bin/cfgmtd -w -p /etc/
reboot
Isso afeta a versão 7 do firmware?
Estou com cerca de 700 equipamentos resetados aqui também
Como esse vírus entra no equipamento? aqui não tenho nenhum com ip real, isso ocorre somente no caso de deixar login/senha padrão ubnt/ubnt ou é algum bug que da acesso ao sistema?
Tem que atualizar pra versao 6 que eh beta. Nessa versão
As antenas ficam com isso "Custom Scripts:Enabled" que fica abaixo do " airSelect: " na pagina" MAIN " enfim quando atualizadas abre a opção para remover o script.
Pelas analises e comparativos que levantamos, acreditamos que o virus vinha se instalando a vários dias atras sem ninguém perceber, programado para executar em determinado horário, no nosso caso as 2h da manha 14/05/16. Equipamentos com usuários/senhas diferentes foram afetados, então não importa o usuário que a antena esta. Equipamentos com ssh desativado também foram afetados, então não foi pela porta 22. Onde possuía DMZ porem a antena ainda respondia pela porta 80 não foram afetados, então não veio pela porta 80. Afetou versoes 5.5.x, em alguns casos resetou equipamento, em outros casos perdemos acesso a porta 80 porem cliente ainda navega. Não sabemos o certo como esse virus se implantou dentro dos UBNTs, mas afetou apenas nossos usuários com IP Publico. De momento parece que solucionou apenas atualizando para 5.6.4. Mas por via das duvidas faça esse procedimento nos equipamentos infectados:
acesse por ssh
usuario: mother
senha: fucker
se conseguiu logar é porque o equipamento de fato esta infectado
inserir comandos:
rm /etc/persistent/.mf/*
rmdir /etc/persistent/.mf/
rm /etc/persistent/*
cfgmtd -w -p /etc/
reboot
o equipamento ja não possui mais o usuario mother...
agora basta realizar o update do firmware para 5.6.4
Pessoal para identificar os equipamentos que ainda estão com o virus:
/ip firewall filter
add action=add-src-to-address-list address-list=IPs_infectados_ubiquiti chain=forward comment=\
"Marcar ips Infectados Ubiquiti" dst-address=78.24.191.177
add action=drop chain=forward comment="Drop Virus Ubiquiti" dst-address=\
78.24.191.177 protocol=tcp
Depois é só seguir esses passos pra remover:
https://www.youtube.com/watch?v=eNX2Qz4vbyE
Pessoal, isso realmente está dando muito dor de cabeça.
Esse apk para Android faz uma varredura na rede, e automatiza o processo de remoção do vírus e atualização. Já estou usando. muito bom!
https://github.com/vlada-dev/app-ubn...r.apk?raw=true
Bom dia,
90 equipamentos resetados na madrugada de 14/05 as 02:20
70 equipamentos resetador na manha de hoje as 7:40
....foda
segue um video pra remover os script... simples mas espero q ajude...
https://www.youtube.com/watch?v=eNX2Qz4vbyE
Putz!! que pepino.... não chegava a presença de virus em computadores agora eles estão mirando nas CPEs...
Isso vai tirar o sossego dos provedores, que diga-se de passagem já não tem muito sossego mesmo...
Se remove hoje e amanhã surge um outro...
Agora um comentário que não está relacionado diretamente com os virus mas vi ocorrer em vários posts deste tópico e de outros de modo geral. Com este comentário não quero ofender ninguém mas acho oportuno. Se ofendo, já me desculpo pois não é essa a intenção.
Antena não pega virus, quem pega é o equipamento. Tenho notado a prática de se referirem ao equipamento como antena... Antena é elemento passivo e acompanha a CPE.
Pode não significar nada, mas o uso correto do nome ajuda a profissionalizar o setor... deixemos o uso da palavra "antena" quando se refere ao conjunto, para os amadores...
viu 1929, a airgrid é o que? é uma espaçonave da NASA, uma televisao 8k? se ela recebe sinal via ondas de radio, e o radio é acoplado a uma grade, o conjunto se chama como? ate onde eu estudei isso é conhecido como uma antena, ou quando você vai comprar pede para o vendedor "quero comprar um equipamento eletrônico transmissor e receptor de ondas de radio na frequencia 5.8". Vai carpi um lote e deixa o assunto para quem entende.
Se você viu eu não quis ofender ninguém e por isso já saltei na frente pedindo desculpas a quem se sentisse ofendido...e reitero. Só penso na profissionalização do setor principalmente no uso de termos técnicos. Esta prática tem sido espalhada pela internet como se a maioria usasse o nome "antena" tornasse a aplicação do nome correta... especialmente pelo grande número de novos empreendedores que chegam ao setor.Citação:
Postado originalmente por ederjohann
Se não fizermos um movimento pela melhoria em "todos" os aspectos nunca sairemos desta pecha que levamos de amadores.
Mas vamos ao ponto como diria o Eraldo Pereira do Jornal da Globo.
Já que perguntou, uma airgrid é uma CPE.
O termo CPE engloba todo o conjunto...Antena é a gradezinha que acompanha.. Inclusive é muito mais econômico escrever cpe do que antena que tem o dobro de letras. heheheh
Cara não discordo de vc, acho que os brasileiros deveriam ter um minimo de profissionalismo, e pelo menso aprender os termos técnicos corretos... e as formas corretas de trabalhar...Citação:
Postado originalmente por 1929
Por isso que existem Provedores e ProoVeeDores. kkkkk. Cada um que aparece.Citação:
Postado originalmente por 1929
Pronto acabou o tópico, como sempre se desviam, vamos focar no vírus das antenas ou desculpa Cpe, e não me venham dizer que o nome não é vírus.
A principio não resetaram aqui, apenas bloquearam porta 80 e ficamos sem acesso aos equipamentos dos clientes.
Baixem a ferramenta no fórum da ubiquit, que remove e atualiza em massa.
usuario:mother
senha:fucker
dos equipamentos infectados.
Isso serve para muitos que falam errado e desde cedo maltratam a classe de provedores. Quanto ao problema, espero que seja o ultimo, pois com certeza se trata de falha (brechas) no firmware e suas versões. Para cada caso existe uma maneira mais efetiva ou mais acessível de resolver, do contrário a ubnt já passou a solução. Ainda não presenciei nenhum tipo de problema mesmo com o skynet, pois não uso com o airmax ativo, mas se os colegas puderem passar a informação se estavam ou não com o airmax ativo acho q vai ajudar.Citação:
Postado originalmente por velhopolenta
A ferramenta da UBNT não presta, tem problemas de travamento quando acha viruz e quando o ip não volta.
Qual o script que vc esta usando?
Ele remove e atualiza o equipamento?
Citação:
Postado originalmente por ab5x2
Alguém ja sabe o comando para remover o vírus da CPE? Mesmo após o reset, o vírus permanece causando problema. Tem que remover o vírus e mudar a porta.
é 1 comando por vez ou todos juntos da certo?
Pessoal tem como se evitar esse tipo de ataque , alguma dica?
Tem sim como evitar esse tipo de problema, é spo contratar um ADMINISTRADOR DE REDES.
simples assim.
bela forma de ajudar
Gente estou em apuros aqui com isso também, vi esse forum com varios relatos porém pergunto: qual deles tem tido sucesso na remoção definitiva desse virus? e de que maneira tem feito? Obrigado.
olha eu aqui estou entrando via putty
rodo o script abaixoTudo junto, depois atualizo com a ultima versão 5.6.5Citação:
/bin/sed -ir '/mcad/ c ' /etc/inittab/bin/sed -ir '/mcuser/ c ' /etc/passwd
/bin/rm -rf /etc/persistent/mcuser
/bin/rm -rf /etc/persistent/mf.tar
/bin/rm -rf /etc/persistent/.mf
/bin/rm -rf /etc/persistent/rc.poststart
/bin/rm -rf /etc/persistent/rc.prestart
/bin/kill -HUP `/bin/pidof init`
/bin/kill -9 `/bin/pidof mcad`
/bin/kill -9 `/bin/pidof init`
/bin/kill -9 `/bin/pidof search`
/bin/kill -9 `/bin/pidof mother`
/bin/kill -9 `/bin/pidof sleep`
/bin/cfgmtd -w -p /etc/
reboot
https://www.youtube.com/watch?v=eNX2Qz4vbyECitação:
Postado originalmente por cleitonsuporte
Boa Noite
Alguém já tem a solução esse problema do vírus 14/05/2016 ? ? ?
temamos remover, atualizar e etc
SOCORRO ! ! !
entao VandoMak, a solução esta ai em cima, eu estou entrando pelo putty e removendo via script e depois atualizando com a versao 5.6.5
O correto é atualizar pra ultima versão?
sim
Aqui na minha rede não tive esse problema.
Enviado via GT-I9515L usando UnderLinux App