Re: Alerta Novo Worm em CPEs UBNT
Citação:
Postado originalmente por
FANTOXY
Vai uma dica....
Só seguir passo a passo....
=====================================================
This script is used to remove the virus to ubiquiti radios discovered on 05/13/2016 more information at:http://community.ubnt.com/t5/airMAX-...T/td-p/1562940
This script change default port HTTP for 81
The exploit use USER:mother and PASS:fucker try it before your user and pass, in test it's work. This script remove this user.
Multiple radios via SSHPASS
You can use a single Linux machine with SSHPASS installed to clear all your network equipment improving the sample script clearmf.sh
Ex: ./clearmf.sh PASS USER NETWORK INITIAL_IP
Or or create a script with the following command
sshpass -p PASS ssh -o StrictHostKeyChecking=no USER@IP "wget -qO-https://raw.githubusercontent.com/di...r/desinfect.sh | sh"
You need install in server SSHPASS
- Debian: apt-get install sshpass
- Centos: yum install sshpass
Direct in Radio
You may prefer to run the command only a single radio to this run the following command
wget -qO- https://raw.githubusercontent.com/di...r/desinfect.sh | sh
Fonte:
https://github.com/diegocanton/remove_ubnt_mf
Obrigado pela contribuição, eu rodei o comando que eu citei acima e depois disso percebi que não loga mais usando o user: mother
Re: Alerta!!! Novo Worm em CPEs UBNT
Citação:
Postado originalmente por
SuporteClinitec
Boa tarde, venho por meio de post alertar os companheiros que utilizam antenas UBNT rodando AirOS versão 5.5.x!
Hj pela manhã percebemos que algumas antenas na versão citada não estavam acessando pela porta HTTP somente via SSH, então
via SSH eu dei o comando ls -la e percebi que essas antenas continham arquivos diferentes, segue print abaixo comparando uma antena não infectada com versão 5.6.x e 3 antenas infectadas com versão 5.5.x:
Anexo 63906
Recomendo também criar uma regra forward na entrada dos seus links dropando acesso externo a porta ssh (22) com destino ao seu prefixo, e também dropar acesso ao ip do site openwrt.org, pois o worm acessa este site para baixar alguns arquivos necessários para infecção, segue abaixo também um link de um post gringo no fórum da UBNT ensinando a remover o worm:
http://community.ubnt.com/t5/airMAX-...t/false#M54959
Comando que estamos utilizando para remover o worm:
cd /etc/persistent/
rm mf.tar
rm rc.poststart
rm -R .mf
cfgmtd -p /etc/persistent/ -w && reboot
(Atualização) Caso não for possível acessar a sua antena, dando uma mensagem de senha inválida logar com user: mother e senha: fucker, pois o worm támbem altera o usuário da antena.
Após colocar esse comando atualizar a antena para versão 5.6.4 mais rápido possível!
Abraços...
Amigo, nas imagens 3 e 4, onde o firmware é mais antigo e a antena está infectada, você sabe nos dizer o que é o cardlist.txt ?
Abraço.
Re: Alerta Novo Worm em CPEs UBNT
Fonte: https://forum-pt.ubnt.com
=======================================
Houveram vários relatos de dispositivos AirmaxM sendo infectados ao longo da última semana. A partir das amostras que temos visto, há 2-3 variações diferentes. Temos confirmados, pelo menos, duas destas variações. O vírus explora uma vulnerabilidade conhecida que foi relatada e corrigida no ano passado.
Este exploit é um HTTP / HTTPS que não requer autenticação. Basta ter um rádio com uma versão antiga e ter a sua interface http / https exposta à Internet para que a infecção ocorra.
Dispositivos que rodam as seguintes versões de firmware estão OK, contudo recomendamos a atualização para5.6.5, lembrando que os scripts foram desabilitados nesta versão.airMAX M
5.5.11 XM/TI
5.5.10u2 XM
5.6.2+ XM/XW/TI
AirMAX AC
7.1.3+
ToughSwitch
1.3.2
airGateway
1.1.5+
airFiber
2.2.1+ AF24/AF24HD
3.0.2.1+ AF5x
Ferramenta para remoção
CureMalware-0.7.jar
Esta ferramenta requer Java. Ele irá procurar e remover ambas as variantes que temos visto, removê-los (e sua bagagem). Ele tem a opção de atualizar o firmware para 5.6.5.
Uso:
java -jar CureMalware-0.7.jar
Exemplo:
C:\Users\ubnt\Downloads>java -jar CureMalware-0.7.jar
Skynet/PimPamPum/ExploitIM malware removal tool v0.7 for Ubiquiti devices
Copyright 2006-2016, Ubiquiti Networks, Inc. <[email protected]>
This program is proprietary software; you can not redistribute it and/or modify
it without signed agreement with Ubiquiti Networks, Inc.
Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 192.168.1.31
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 3
Enter ssh port [22]:
Enter user name [ubnt]: ubnt
Reuse password <y|n>[y]: y
Processing [email protected]:22 ...
Password for [email protected]:
Checking...
CRITICAL: Infected by exploitim
WARNING: User Script(s) is(are) installed:
/etc/persistent/rc.poststart
Review/remove manually!
Done.
Cleaning...
Done.
IT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE!
IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
Preparing Upgrade...
Done.
Uploading firmware: /firmwares/XM.bin ...
Sending... [%100]
Done.
Upgrading...
Current ver: 329220
New version: 329221
No need to fix.
Writing 'u-boot ' to /dev/mtd0(u-boot ) ... [%100]
Writing 'kernel ' to /dev/mtd2(kernel ) ... [%100]
Writing 'rootfs ' to /dev/mtd3(rootfs ) ... [%100]
Done.
Firmware:
Estamos lançando a release 5.6.5 com as seguintes alterações.
- Novo: o uso de scripts personalizados foi desabilitado
- Novo: syslog habilitado por padrão
- Fix: As atualizações de segurança (scripts de malware verificar e remoção)
http://www.ubnt.com/downloads/XN-fw-...60515.2108.bin
http://www.ubnt.com/downloads/XN-fw-...60515.2119.bin
http://www.ubnt.com/downloads/XN-fw-...60515.2058.bin
1 Anexo(s)
Re: Alerta Novo Worm em CPEs UBNT
pessoal bom dia estou com alguns radios sento atacados novamente com virus novo mesmo na versão 5.6.5 ou 5.6.6.
nas atenas setorias os radios dos assinantes ficam com seguinte nome.
HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD.
algumas antenas quando colocamos o ip fica mandando abrir o arquivo.
outras acessamos via puty mais não conseguimos entrar no setup pois a senha foi modificada.
Anexo 64446
Re: Alerta Novo Worm em CPEs UBNT
Muda a porta ssh padrão !!!! se continuar com porta 22 vai continuar tendo problemas.
refaça todo o procedimento conforme fórum da ubnt explica.
deixe todos os rádio atualizados pra ultima versão de firmware.