Estou com cerca de 700 equipamentos resetados aqui também
Versão Imprimível
Estou com cerca de 700 equipamentos resetados aqui também
Como esse vírus entra no equipamento? aqui não tenho nenhum com ip real, isso ocorre somente no caso de deixar login/senha padrão ubnt/ubnt ou é algum bug que da acesso ao sistema?
Tem que atualizar pra versao 6 que eh beta. Nessa versão
As antenas ficam com isso "Custom Scripts:Enabled" que fica abaixo do " airSelect: " na pagina" MAIN " enfim quando atualizadas abre a opção para remover o script.
Pelas analises e comparativos que levantamos, acreditamos que o virus vinha se instalando a vários dias atras sem ninguém perceber, programado para executar em determinado horário, no nosso caso as 2h da manha 14/05/16. Equipamentos com usuários/senhas diferentes foram afetados, então não importa o usuário que a antena esta. Equipamentos com ssh desativado também foram afetados, então não foi pela porta 22. Onde possuía DMZ porem a antena ainda respondia pela porta 80 não foram afetados, então não veio pela porta 80. Afetou versoes 5.5.x, em alguns casos resetou equipamento, em outros casos perdemos acesso a porta 80 porem cliente ainda navega. Não sabemos o certo como esse virus se implantou dentro dos UBNTs, mas afetou apenas nossos usuários com IP Publico. De momento parece que solucionou apenas atualizando para 5.6.4. Mas por via das duvidas faça esse procedimento nos equipamentos infectados:
acesse por ssh
usuario: mother
senha: fucker
se conseguiu logar é porque o equipamento de fato esta infectado
inserir comandos:
rm /etc/persistent/.mf/*
rmdir /etc/persistent/.mf/
rm /etc/persistent/*
cfgmtd -w -p /etc/
reboot
o equipamento ja não possui mais o usuario mother...
agora basta realizar o update do firmware para 5.6.4