Versão Imprimível
No dia 13/12/2016 nosso provedor foi atacado mais uma vez por hacks que atacam radios da Ubiquiti. Nossos radios resetaram de fabrica e nao conseguiamos atualizar eles nem modificar a senha default alguem teve o mesmo problema ou algo parecido
Sent from my iPhone using UnderLinux
So com alguns radios de clientes que ainda estavam em versão anterior a 5.5.10
Enviado via SM-J110L usando UnderLinux App
Entao nossos radios mesmo os que estão com a versão 5.6.9 esta pegando o virusCitação:
Postado originalmente por sphreak
Sent from my iPhone using UnderLinux
Isto non equisiste... és puro charlatanismo...
Varias e varias antenas com a versão 5.6.9 todas infectadas e rodando script, o que notei é as que estão com ssh desativado não foram afetadas, agora as outras que estão com ssh independente da porta foram infectadas e o detalhe é que ela reseta e depois na nova configuração não deixa trocar a senha e depois por acesso remoto a senha para mim todas foram mother e fucker.
Cara Existe sim e estamos vivendo essa realidade aquiCitação:
Postado originalmente por jlima2001
Sent from my iPhone using UnderLinux
Isso mesmo que está acontecendo e nao conseguimos atualizar tambem pelo navegador conseguimos apenas depois q fazemos o upload da atualizacao e por ssh mandamos o comando /sbin/fwupdate -m e so assim para atualizarCitação:
Postado originalmente por jcmaster85
Sent from my iPhone using UnderLinux
Alguem mais com esse problema???
Sent from my iPhone using UnderLinux
Se informe ou pesquise antes, existem varios relatos inclusive esta ocorrendo conosco.Citação:
Postado originalmente por jlima2001
Anderson
Este problema também esta ocorrendo com o firmware 5.6.9, meus rádios infectados estão nesta versão.
Ainda não encontramos a solução, apenas substituímos os rádios.
Que legal mais uma vez a ubnt vem ferrar a nossa vida,
estou com alguns clientes assim, simplesmente tu não faz mais nada na antena a tarde vou pegar elas e tentar atualizar por ssh se eu tiver acesso por ssh né
Versao q ate agora nao vi virus 5.6.8
Sent from my iPhone using UnderLinux
Tengo el mismo problema. Además después de resetearlo no puedo cambiar la contraseña queda siempre con ubnt ubnt
Pessoal estou apos estar resetado para limpar o equipamento basta fazer o upload da atualizacao 5.6.8 e na hora de clicar em atualizar vc manda o comando pelo putty q acessa o equipamento por ssh ai vc mando o comando /sbin/fwupdate -m ai sim vcs vao conseguir atualizar o equipamento e limpar ele e depois disso deixa habilitado a função block acesso pelo wan pronto resolvido o problema
Sent from my iPhone using UnderLinux
Esse novo worm está acessando via ssh ? e se deixar o ssh desativado.
Nao sabemos por onde é o ataque por isso estamos deixando o acesso pela wan bloqueado para nao ter acesso de jeito algum ao radio
Sent from my iPhone using UnderLinux
Esses rádios não estariam com senha default? Tem os roteadores tplink que quando tem a senha default acabam tendo seu DNS alterado
Enviado via Moto G (4) usando UnderLinux App
Nao estao todos com senhas alternadas. Chegamos a pegar alguns casos de roteadores q foram mudados os SSID mas foi apenas poucos casos
Sent from my iPhone using UnderLinux
👏👏👏
Enviado via Moto G (4) usando UnderLinux App
Na nossa empresa apareceu este mesmo problema (vírus), a solução foi fazer o reset manual direto no botão do equipamento. Depois de fazer o reset usamos o software TFTPD32 para fazer a atualização do equipamento, sugiro que usem a versao anterior 5.6.8 para atualizar.
Cara Você está certo em alguns aspectos que falou mas nossa empresa trabalha com outras marcas de Radio como Mikrotik e intelbras e nunca tivemos nenhum problema de ataque nesses radio. E mesmo nos bloqueando no primeiro ataque q teve portas de uso comum como 80 22 443 23 8080 de acesso externo ocorreu o ataque novamente entao que bom q que você nao teve nenhuma ocorrência na sua Rede. Podemos até ter algumas falhas mas na minha opinião a principal é a do fabricante e so um detalhe entramos em contato com o suporte deles nao sabiam nem dizer oque estava acontecendo muito menos a solucao. E nao sei se viu no site dele estão "pagando recompensas" pra quem acha falhas nos equipamentos deles!!!!Citação:
Postado originalmente por rpassistencia
Sent from my iPhone using UnderLinux
Amigo você não sabe o que ta falando, trabalhei por quase 6 anos na OI antiga Brasil Telecom na area de redes e ADSL, ta certo que eu e meus colegas trabalhavamos em ultima milha eramos peão da empresa, mas voce acha que a OI não tem equipe tecnica qualificada para manter a rede deles "segura"??? Te digo que cansei te pegar BDs(bilheite de defeito) em massa por problemas de virus 10/20 num dia, colocava um modem novo e levava o velho, e o que o virus fazia?? simplesmente deletava o firmawire do modem, o modem virava um zumbi somente com o power aceso outros simplesmente resetevam, e como exemplo varios provedores dos EUA, voce vai la no forum ubnt internacional tem provedor de 5mil usuarios,3mil usuarios UBNT e com a mesma queixa, voce fala que nunca pegou virus em sua rede, eu tenho cerca de 450ubnts em minha rede, hoje desses ubnts desde aquela primeira remessa do virus mother fucker peguei em cerca de 200 a 250 equipamentos, e porque os outros 200 não pegaram??? se todos estão exatamente com a mesma configuração, todos com IPs validos, todos com acesso externo, todos com porta ssh ativa porem não a pádrao pois preciso usar o aircontrol para dar comandos aos equipamentos, resumindo, tenho cerca de 800 intelbras 300mk e 450ubnts e esse problema de reset so da em ubnt!!! No forum oficial eles falaram atualize seu equipamento para a ultima versão que ela não roda script é totalmente segura vão na fé, te falo que todas as resetadas estão justamente com a ultima versão 5.6.9 a ultima disponivel e todas com a porcaria do script rodando, pra mim não tem o que fazer com a ubnt, essa variante do virus vai ser solucionada e logo vai aparecer outra porque tem tanta gente puta com a UBNT que ja devem ta bolando alguma coisa nova, se ja não tiver pronto.
Citação:
Postado originalmente por rpassistencia
Bom dia, alguém sabe se essa atualização de firmware novo da UBNT corrigiu os problemas do vírus ?
https://www.ubnt.com/download/airmax-m/nanobeamm
No forum da Ubnt tem algumas pessoas falando que mesmo na versao 6.0 beta tambem pegaram Virus e resetou os equipamentos.Citação:
Postado originalmente por LucianoJr
Sent from my iPhone using UnderLinux
Tempos atras estava na mesma situação que a sua, julgava a rede que administro contra falhas.Citação:
Postado originalmente por rpassistencia
Mas erros ocorrem, falha de um tecnico em campo pode causar tais problemas com um pequena vunerabilidade, por tanto não fico dizendo que minha rede é 100% segura.
Com erros de outros administradores tambem se aprende, e digo que muito, pelo menos pra mim.
Da minha rede, tenho ASN com 3 mil IPs válidos, utilizo firewall para bloqueio das principais ações e ataques especificos direto a clientes.
rpassistencia, voce cita que o radio ser acessivel da rede externa é uma fragilidade, poderia informar como faz o bloqueio para a rede externa.
Desde já grato.
Ontem as 23:50hs tivemos uma enxurrada de equipamentos que ficaram sem acesso.Citação:
Postado originalmente por lucasmarquessgs
Aqui o ataque iniciou na versão XM... ontem localizamos tambem na XW na versão 5.6.9.
Ja estou com quase todos em 6.0, identificamos que todas as versões estão aptas a ter este virus, abri chamado na UBNT Internacional no dia 13/12 porem até o momento não identificaram uma possivel solução.
Meu maior problema é que possuo clientes de anos que usam final de semana ou madrugada e ainda estão com versões anterior a 5.6.6.
O Virus esta trabalhando em 4 etapas, se identifica quedas constantes (forçando o cliente a reiniciar), na segunda etapa o acesso esta normal com arquivo mf.tgz, na terceira etapa o acesso permanece porem sem funções e ja possui identificação de invadido, na quarta em alguns casos o acesso permane com senha alterada e o mais grave equipamento sem comunicação (apenas mediante TPFP)
Desculpem se eu estiver falando asneira aqui... Mas será que é possível "baixar de forma segura" esse vírus no pc e analisá-lo? Verificar o código dele e ver como trabalha?
Tenho dois que pararam ontem de 13:56. Trouxe pra casa para atualizar via tftp. Mas e se depois que eu colocar na casa do cliente acontecer no outro dia e assim por diante?
Citação:
Postado originalmente por rpassistencia
Tenho aqui uns ubnt com a versão 5.6.9 e uso normalmente o CT.
Para Ativar o compliance test é mesmo nas últimas versões basta acessar via ssh e digitar o comando touch /etc/persistent/ct depois save e depois rebootCitação:
Postado originalmente por rpassistencia
Sent from my iPhone using UnderLinux
Amigo respeito seus conhecimentos, mas gostaria de lembrar que este e um fórum para troca de informações, existe uma área especifica destinada a venda de serviços que é os classificados ,O sol nasce para todos, mas brilha mais para aqueles que acreditam que o amanhã será sempre melhor que hoje, e a solidariedade ainda é a melhor virtude de um ser humano... assim falou o poeta...Citação:
Postado originalmente por rpassistencia
Quanto a UBNT, ja deixei de usar a muito tempo, e nao foi por conta de vírus nao, outros problemas como perda de potencia, queima de porta Lan e por ai vai, tive mais de 300 equipamentos com perda de potencia em uma das polaridades, ocasionando lentidão na celula onde estava conectado, ainda tenho alguns sobreviventes e nenhum pegou o tal virus, uso IPs Publicos porem com o SSH desativado , a porta 443 (https) destivada e a porta 80 eu uso la pra cima tipo 9036, medidas simples assim ja são o suficiente para evitar danos maiores.
Mas ao meu ver todas essas medidas são mais REMENDOS do que Falhas de Segurança, se vc precisa ter um especialista em segurança, fazendo regras e mais regras, tem coisa errada e nao e com a segurança. Empresas como a Mikrotik por exemplo, nunca ouvi falar que teve sua segurança quebrada, existem sim updates para correção de bugs mas nao de segurança. Já a UBNT existem até Exploits que exploram suas falhas e vulnerabilidades como Metasploit ou Armitage.
Se acha que segurança é ocultar informações, sendo que não te conheço, você não divulga nome do Provedor, não sei qual região do pais ou exterior que se encontra, se preocupa mais com seu concorrente que provavelmente nem sabe quem você é neste forum.Citação:
Postado originalmente por rpassistencia
Para ciencia, recebo ataques em massa todo santo dia, vindo da India, China, USA e Brasil, alem de ter sofrido ataque DDOS, minha rede nunca ficou fora por isso.
Não estamos tratando nem de vunerabilidade do Provedor e sim de equipamentos, toda ajuda e troca de informações são bem vindas.
Citação:
Postado originalmente por jodrix
UBNT esta deixando a desejar faz tempo, mas não consigo substituir tão prontamente devido ao custo, tempo e mão de obra.
Este problema pelo que vi em outros foruns, principalmente de fora, se instalou em alguma versão antiga e esta se propagando pelo discorery dos radios, ja tenho versões 6.0 infectadas, na versão mais recente esta de propagando muito rapido.
Alguem tem o arquivo infectado e pode postar aqui.... vou tentar achar o IP.
Neste forum conheço tantas pessoas com conhecimento bem profundos em alguns assuntos que auxiliam usuários, não falo dar o peixe, mas dar uma orientação como pescar (digo nem ajudar a pescar).Citação:
Postado originalmente por rpassistencia
Com sua expertise faz o que no forum, pelo que entendi não troca informações do que sabe, mas suga que outras pessoas postam.
Deixamos este assunto de lado... ainda tem usuários que precisam de uma luz...
Cara Boa Noite se Vc se acha tão superior as pessoas que estão no forum e nao quis dizer de jeito nenhum como resolveu o problema e que estuda tanto. E nao sabia como esta no seu post numero 32 que tem um script que ativa novamento o compliance test nas novas versões dos radio ubnt... HUMILDADE é tudo Brother nao vamos levar nada dessa terrar devemos apenas deixar coisas boa kkkkk vlw Bom natal e um prospero ano novo a todosCitação:
Postado originalmente por rpassistencia
Sent from my iPhone using UnderLinux
Cara Gracas a Deus nosso provedor já teve Hoje Nao tem mais. Esta tudo funcionando perfeitamente e se fosse questao de firewall outros equipamentos como mikrotik e intelbras tambem sofreriam ataques. Nao sei se você trabalha Na ubnt mas tem erros nos equipamentos deles.Citação:
Postado originalmente por rpassistencia
Sent from my iPhone using UnderLinux
bom dia. amigo só uma curiosidade...>
os radios que estao infectados sao todos AIRGRID?
ou tem LITEBEAM no meio?
pois o que percebi que os litebeam nao sofreu ataques no meio do ano apenas os airgrid.
Aqui até bullet pegou o vírus
Atualizei a rede toda e troquei a porta SSH e parou os ataques
Nós Mikrotik coloquei os ips q podem acessar SSH e Telnet
Enviado via D5833 usando UnderLinux App
Bom dia !
Achei que o problema, era só em quem disponibiliza ip fixo para os clientes....
Mais aqui na nossa rede, não disponibilizamos ip fixo para os clientes, e estamos perdendo o acesso as antenas.....
Aguardando a ajuda dos amigos, para resolvermos juntos esse problema....
Deus abençoe a todos !
bom dia galera.
ontem as 22:28 foram 76 antenas resetadas....
hj os telefones nao param de tocar...
fui agora no primeiro cliente. Tudo normal , porem nao conecta pppoe....
alguem tbm esta recebendo esse ataque?
qual versao para retirar esses virus?
Anexo 65744Anexo 65745Anexo 65746Anexo 65747Anexo 65748Anexo 65749Anexo 65750
Amigo aqui o mesmo problema!!Citação:
Postado originalmente por saldanhabr
PPPOE não conecta de forma alguma ?
Antena normal....
Perdemos acesso as antenas que fazem o Ponto a Ponto também !
....
Respeito a sua opinião... Mais não a aceito....Citação:
Postado originalmente por rpassistencia
Desculpe amigo a ignorância... Mais já vi essa sua resposta aqui neste post no mínimo uns 5 vezes....
Blz, entende e respeito sua opinião....
Mais tenho uma pergunta pra você. Será que os equipamentos da UBNT, foram projetados, para serem usados somente por "experts", ou "ninjas" em redes. Ou eles também foram projetados, para clientes domésticos, para uso casual, (ex: fazer um ponto a ponto entre minha casa e meu sitio, como temos vários exemplos aqui no fórum. Relatos de pessoas comuns que usam os equipamentos da UBNT para fazer tal tarefa, ponto a ponto simples)... Pessoas que eu tenho certeza que serão afetadas.
Na minha humilde opnião é problema sim da UBNT...
Desde já grato....
amigo, se voce disse que isso é uma falha no firewall no meu mk ok.
voce pode me passar uma regra para bloquar isso temporariamente?
vou isntalar o skype , 1 instante.
A SKYPE FICOU DE me enviar o codigo pra reativar a conta...
mas ate agora nada..
vc pode me add no face???
https://www.facebook.com/saldanha.franson
preciso de ajuda, ficaria grato se conseguir me ajudar
Peço desculpas ao amigo pelo post.
Mesmo sofrendo aqui.... Rachei de rir aqui kkkkkkkkkkkkkkkkkkkkCitação:
Postado originalmente por jcmaster85
Melhor dos melhores......
Desde já grato pelo momento de descontração kkkkkkkk
Se só atingiu a UBNT é pq existe uma falha de segurança no firmware, disso não ha o que discordar. Pode ate haver falhas nos provedores ao redor do mundo que usam a UBNT e foram atingidos, porem isso não foi uma falha de segurança de rede, foi uma falha no sistema(firmware). E a mesma coisa de dizer que as falhas de segurança da microsoft é sempre culpa do usuário, não é atoa que praticamente toda semana existe atualizações para corrigir essas falhas. A UBNT é a mais utilizada no mundo em seu ramo, logico que muita gente vai tentar explorar as falhas, cabe a empresa reconhecer e trabalhar rápido para corrigir.
rpassistencia
Patrao obrigado por me ajudar e explicar a REAL situação da minha rede.
com vc matou a cobra e mostrou o pau realmente só tenho que te agradecer!!!
precisamos de mais pessoas como voce , com intencao de ajudar e nao de ficar fazendo piadinha, pois o nosso trabalho que sustenta a familia.
bem , Deus abencoe pela ajuda!!!