Procedimento para remoção do virus/worm SkyNet !!

pra galera que nao quer usar o phyton e quer enviar os comando em massa, eu descobri uma outra maneira, pelo AirControl.
Muito simples!!!

1. No AirControl, selecione os dispositivos para serem consertos
2. Clique direito, e selecione 'Tasks/Operations'
3. Escolhe 'Execute Command'
4. No campo de comandos, digita "rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;" -- sem aspas
5. Clique 'Done'

abracos.... da pra agendar um schedule para ficar passando de tantos em tantos segundos de acordo que vc escolher para os que estao off-line.

Boa noite galera,

pra monitorar os radios infectados e novas infecções
eu resolvi implantar esta regra abaixo
ela adiciona numa address list o ip dos radios infectados
e na outra regra o bloqueio



/ip firewall filter
add action=drop chain=forward comment="BLOQUEIO INFECTADOS SKYNET" disabled=no \
dst-address=178.216.144.75 src-address-list=virus_ubnt
add action=add-src-to-address-list address-list=virus_ubnt \
address-list-timeout=1w3d chain=forward comment="LISTAR INFECTADOS SKYNET" \
disabled=no dst-address=178.216.144.75


o importante é fazer o monitoramento com wireshark se o ip ainda é o mesmo.
ou mesmo com torch do mikrotik se o worm não foi alterado nesse período.

Abraços

clovis, a segunda regra deve ser antes da primeira..., se ele fizer o DROP .. ele nao chega na outra regra..

Verdade Alexandre, Vlw

só alterem a ordem, aki eu usei a ordem certa,
ms não atentei na hora de postar

abraços

Alguém aí tem outro link pra baixar o firmware 5.3.3ajcorra? Ou entao puder me mandar via email...

Valeu!

Vendo aqui depois de longo tempo nunca havia me preocupado com esse worm, resolvi colocar a regra no firewall do mikrotik pra criar uma lista de ips que tentem acessar o ip alvo do skynet! Encontrei uns poucos dispositivos com o worm, os ubiquit blz,fiz o procedimento e ficou ok! Mas me deparei com outro fabricante que usa aparentemente o airos 5.0 mais precisamente o dispositivo aquario de referencia PS-5817 uma cpezinha horrivel diga-se de passagem, mas que tenho na rede algumas delas e os ips dos clientes que usam ela apareceram na lista criada! O cruel que ela não deixa entrar por ssh! Dai não ter como fazer o procedimento de remoção do worm como também não tem firmware de atualização e o pior de tudo foi descontinuado! É o descaso dessas empresas que criam cpes pra atender o mercado nacional! Tomei uma decisão de não ariscar mais, tentei com esse aquário (ave maria) com os elsys (ave maria 3 vezes), não tento mais fiquei com os ubiquiti!

como eu faço bloqueiar o acesso IN-OUT do login e senha, eu nao sei como fazer, preciso da sua ajuda.

Bom Galera, como alguns equipamentos nunca estao on-line quando estou ou por vezes eles mudam de Ip ao desligarem e religarem o equipamento, então resolvi ajustar este script para que me mostre no log o nome do usuario junto com IP e MAC para se o equipamento mudar o ip o pego pelo MAc ;)

/ip firewall filter
add action=add-src-to-address-list address-list=virus_ubnt \
address-list-timeout=1w3d chain=forward comment=\
"LISTAR INFECTADOS SKYNET" disabled=no dst-address=178.216.144.75
add action=drop chain=forward comment="BLOQUEIO INFECTADOS SKYNET" disabled=\
no dst-address=178.216.144.75 src-address-list=virus_ubnt
/system script
add name=Captura_MAC policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
source=":global ipusuario;\r\
\n:global nomeusuario;\r\
\n:global ip;\r\
\n:if ([:len [/ip firewall address-list find list=virus_ubnt]]>0) do={\r\
\n:log error \"---------- ANTENAS COM VIRUS SKYNET -------------\";\r\
\n:foreach i in [/ip firewall address-list find list=virus_ubnt] do={:set \
ipusuario [/ip firewall address-list get \$i address];\r\
\n:foreach j in=[/ip hotspot active find address=\$ipusuario] do={:set ip \
[/ip hotspot active get \$j mac];\r\
\n:foreach k in=[/ip hotspot active find address=\$ipusuario] do={:set nom\
eusuario [/ip hotspot active get \$k user];\r\
\n:log error \$nomeusuario;\r\
\n:log error \$ipusuario;\r\
\n:log error \$ip;\r\
\n:log error \"-----------------------------------------------------------\
---------------------\";\r\
\n}};}\r\
\n/tool e-mail send [email protected] server=XXX.XXX.XXX.XXX to=\
emaildestino@skynetsemfio.com.br subject=\"IP's Antenas detectadas com Virus\" body=\"\$ip\
\_\$ipusuario\"}\r\
\n"
/system scheduler
add disabled=no interval=1m name=captura_mac on-event=Captura_MAC policy=\
ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive \
start-date=jul/01/2013 start-time=00:00:00

Citação:

---

Postado originalmente por ZeXP

Vendo aqui depois de longo tempo nunca havia me preocupado com esse worm, resolvi colocar a regra no firewall do mikrotik pra criar uma lista de ips que tentem acessar o ip alvo do skynet! Encontrei uns poucos dispositivos com o worm, os ubiquit blz,fiz o procedimento e ficou ok! Mas me deparei com outro fabricante que usa aparentemente o airos 5.0 mais precisamente o dispositivo aquario de referencia PS-5817 uma cpezinha horrivel diga-se de passagem, mas que tenho na rede algumas delas e os ips dos clientes que usam ela apareceram na lista criada! O cruel que ela não deixa entrar por ssh! Dai não ter como fazer o procedimento de remoção do worm como também não tem firmware de atualização e o pior de tudo foi descontinuado! É o descaso dessas empresas que criam cpes pra atender o mercado nacional! Tomei uma decisão de não ariscar mais, tentei com esse aquário (ave maria) com os elsys (ave maria 3 vezes), não tento mais fiquei com os ubiquiti!

---

Amigo, entre nas aquários, por telnet, Exemplo :
Telnet 192.168.1.123 8939
Elas tem o Telnet Ativo na porta 8939, Coisa que os caras da aquário não informaram nem quando liguei pedindo ajuda.. e ainda disseram que os equipamentos deles não continham tal Vírus. hehehehe Ironicamente o nome de minha empresa leva o mesmo nome "SkyNet Sem Fio"

Alexandre muito obrigado pela ajuda. Comprei uma rocket m5 com a versão ainda 5.3 até então nem dei atenção... configurei como ap coloquei na torre e meus problemas começaram... a rocket passava algumas horas ligada e do nada parava de se comunicar com os clientes... então vi seu post segui a risca e até agora show. Valeu muito obrigado!!!