1 Anexo(s)
Alerta!!! Novo Worm em CPEs UBNT
Boa tarde, venho por meio de post alertar os companheiros que utilizam antenas UBNT rodando AirOS versão 5.5.x!
Hj pela manhã percebemos que algumas antenas na versão citada não estavam acessando pela porta HTTP somente via SSH, então
via SSH eu dei o comando ls -la e percebi que essas antenas continham arquivos diferentes, segue print abaixo comparando uma antena não infectada com versão 5.6.x e 3 antenas infectadas com versão 5.5.x:
Anexo 63906
Recomendo também criar uma regra forward na entrada dos seus links dropando acesso externo a porta ssh (22) com destino ao seu prefixo, e também dropar acesso ao ip do site openwrt.org, pois o worm acessa este site para baixar alguns arquivos necessários para infecção, segue abaixo também um link de um post gringo no fórum da UBNT ensinando a remover o worm:
http://community.ubnt.com/t5/airMAX-...t/false#M54959
Comando que estamos utilizando para remover o worm:
cd /etc/persistent/
rm mf.tar
rm rc.poststart
rm -R .mf
cfgmtd -p /etc/persistent/ -w && reboot
(Atualização) Caso não for possível acessar a sua antena, dando uma mensagem de senha inválida logar com user: mother e senha: fucker, pois o worm támbem altera o usuário da antena.
Após colocar esse comando atualizar a antena para versão 5.6.4 mais rápido possível!
Abraços...
1 Anexo(s)
Re: Alerta!!! Novo Worm em CPEs UBNT
Boa Tarde!
Como você procedeu para remoção do Worm na rede?
Alguns Script para rodar nos blocos de IP e fazendo a varredura ?
Aqui temos alguns com esse problema.
Anexo 63917
Re: Alerta Novo Worm em CPEs UBNT
na minha rede afetou todos os painéis (16) e umas 400 CPE's
aircontrol não consegue acesso, estamos fazendo tudo manual.
Re: Alerta Novo Worm em CPEs UBNT
Vai uma dica....
Só seguir passo a passo....
=====================================================
This script is used to remove the virus to ubiquiti radios discovered on 05/13/2016 more information at:http://community.ubnt.com/t5/airMAX-...T/td-p/1562940
This script change default port HTTP for 81
The exploit use USER:mother and PASS:fucker try it before your user and pass, in test it's work. This script remove this user.
Multiple radios via SSHPASS
You can use a single Linux machine with SSHPASS installed to clear all your network equipment improving the sample script clearmf.sh
Ex: ./clearmf.sh PASS USER NETWORK INITIAL_IP
Or or create a script with the following command
sshpass -p PASS ssh -o StrictHostKeyChecking=no USER@IP "wget -qO-https://raw.githubusercontent.com/di...r/desinfect.sh | sh"
You need install in server SSHPASS
- Debian: apt-get install sshpass
- Centos: yum install sshpass
Direct in Radio
You may prefer to run the command only a single radio to this run the following command
wget -qO- https://raw.githubusercontent.com/di...r/desinfect.sh | sh
Fonte: https://github.com/diegocanton/remove_ubnt_mf
Re: Alerta!!! Novo Worm em CPEs UBNT
Tentei mas não rodou, não consegui instalar o sshpass
Enviado via ASUS_Z00AD usando UnderLinux App