Re: WORM para AIROS da Ubiquiti
Citação:
Postado originalmente por
valmirzuge
o script envia dados de cookies (capturados pelo tcpdump) para o ip 178.216.144.75. Além disso, percorre todo o range de ips pra tentar proliferar o virus. num ip infectado verifiquei que os dados de cookie que ele mandou foi "100002677418915;1%3A72f45bb8592c903b01bdac0e2428230a%3A0%3A1323342467"... aparentemente não dá pra saber que informação é, mas pode ser que seja a senha ou alguma outra informação criptografada.
Código :
100002677418915;1:72f45bb85 92c903b01bdac0e2428230a:0: 1323342467
Tá vindo... passei um urldecode.
Primeiro campo achei que era uma timestamp, mas deu um valor muito no futuro.
Mas acho que é alguma id única para os dados subsequentes.
EDIT: opa... a data é o último campo:
Código :
osmano807@notebook_3d ~ % date -d @1323342467
Thu Dec 8 09:07:47 BRST 2011
osmano807@notebook_3d ~ % date -u -d @1323342467
Thu Dec 8 11:07:47 UTC 2011
Pode postar os dados em formato raw, ou uma parcela dentro do 'code'? Creio que tem um espaço ali sobrando.
EDIT2: 3º campo parece ser um md5
EDIT3:
D'OH!!!
Código :
osmano807@notebook_3d /tmp % sudo cat /etc/shadow | grep skype
skype:$1$TO2o/QCH$hV9zXrXV7xDMBWXGjATQO/:15313:0:99999:7:::
Não iria dar a senha do meu root né?
Isso aí tá em DES.
Creio que aquilo lá pegou a senha de root como md5 e tá mandando...
Humm, o jeito é olhar o rádio e ver se bate algo com o /etc/shadow...
(usar md5 de hash no /etc/shadow? pff) Ou o rádio salva em outro local? humm
Re: WORM para AIROS da Ubiquiti
O airos nao usa md5, ele usa DES.
Quando ele da o boot, pega o passwd dos usuarios (normal e read-only) e coloca no /tmp/running.cfg e /tmp/system.cfg .
Quando vc altera alguma coisa, o /tmp/system.cfg é alterado.
Quando vc troca a senha, a senha que é trocada é no system.cfg e nao no /etc/passwd.
Quando vc clica em apply, é rodado um software que pega todas as variaveis do /tmp/system.cfg e aplica no SO. Após aplicar as variaveis, simplesmente aplica o cfgmtd.
Depois posso olhar tambem com calma esses dados aí, mas acredito que até lá o joaquim já deva ter desvendado.
Saudações,
Re: WORM para AIROS da Ubiquiti
Bom dia pessoal,
no Sábado 90% dos meus rádios UBNT pararam de funcionar... com reboot (desliga/liga) volta normal. Força tarefa para atualizar eles. Poderia ser o Worm?
Re: WORM para AIROS da Ubiquiti
Citação:
Postado originalmente por
michellantunes
Bom dia pessoal,
no Sábado 90% dos meus rádios UBNT pararam de funcionar... com reboot (desliga/liga) volta normal. Força tarefa para atualizar eles. Poderia ser o Worm?
Com certeza é o worm. Inclusive por aqui, tive uma cidade paralisada uma tarde inteira com este problema, antes de sair essa notícia do worm.
Re: WORM para AIROS da Ubiquiti
Citação:
Postado originalmente por
xandemartini
Com certeza é o worm. Inclusive por aqui, tive uma cidade paralisada uma tarde inteira com este problema, antes de sair essa notícia do worm.
Realmente deu trabalho... Simplesmente os equipamentos travavam... e após o reboot voltavam a operar normalmente e derrepente paravam novamente.
Conforme fomos atualizando nossas estações o problema foi diminuindo.
Agora também o pessoal esta começando a atualizar os equipamentos dos clientes.
Outra pergunta: Alguém ai usou esse utilitário para a atualização dos clientes? ou somente manual ou aircontrol?
http://downloads.ubnt.com/XN-fw-inte...netMalware.jar
Att e bom ano a todos.