Caros,
Segue um passo-a-passo de como evitar que o vírus envie dados de sua rede e também como removê-lo:
Passo 01: Bloquear o acesso IN->OUT do worm, para evitar envio de informações (login,senha,ips, etc)
o Worm faz comunicação com o IP: 178.216.144.75, você deve incluir uma regra na tabela FILTER na chain FORWARD, dando um DROP quando o destino for o ip 178.216.144.75. Caso queira monitorar quais clientes estão infectados, basta que, antes da regra de DROP, voce faça a mesma regra com o ACTION setado para LOG, assim todo acesso do worm vai ser logado.
Passo 02: Entre no rádio via SSH (Recomendo utilizar o PUTTY, http://the.earth.li/~sgtatham/putty/.../x86/putty.exe) e execute os seguintes comandos:
Código :
rm /etc/persistent/rc.poststart
rm -rf /etc/persistent/.skynet
cfgmtd -w -p /etc/
reboot
Neste momento o rádio vai ser reinicializado, quando ele retornar, vai estar sem o vírus, você deve atualizar o rádio com os firmwares disponíveis aqui:
http://189.84.0.10/ubnt.php
Estes firmwares, são versões estáveis (5.2.1 e 5.3.3) já com as correções. Estes são para TODA linha M da ubiquiti (Airmax M5,M2,M900). Quando completar o UPLOAD para o rádio vai aparecer uma mensagem em um box laranja, avisando que o firmware é de terceiro, basta confirmar a atualização.
Depois de atualizado, volte via SSH no rádio e confirme se o vírus foi removido com sucesso, digitando o comand:
Código :
ls -l /etc/persistent/.skynet
o retorno deste comando deve ser:
Código :
XM.v5.3.3-ajcorrea# ls -l /etc/persistent/.skynet
ls: /etc/persistent/.skynet: No such file or directory
Pronto, agora é só fazer o mesmo procedimento nos outros rádios.
Para as versões antigas (AirOS 3.x), NanoStation2, NanoStation5 (não airmax) você pode utilizar o firmware 4.0.1 disponível no site da ubnt.
O motivo de ter feito patch para as versões 5.2.1 e 5.3.3 foi para manter a estabilidade da rede, vários usuários tiveram problemas com a versão 5.3.5 publicada pela UBIQUITI, problema este que em muitos casos o upload do rádio não consegue passar de 1MB, tanto como AP quanto como CLIENT (seja em modo router ou em modo bridge).
Estes firmwares foram testados por vários outros provedores antes de serem publicados, é uma cópia original do firmware com a correção, não foram feitas alterações nas demais partes.
Como o vírus funciona:
01 - A Falha:Há uma falha no sistema de autenticação do web-server interno (lighthttpd) onde é possível acessar as configurações via web sem nenhuma senha, bastando informar alguns parâmetros na URL. A ubiquiti desenvolveu um "formulário" de administração para facilitar algumas tarefas (upload,download de arquivos por ex.), este formulário torna a falha mais fácil de ser explorada.
02 - O WORM SkyNet:Uma vez um único rádio infectado, o WORM espalha automaticamente pela rede, ele possui um 'daemon' que de tempos em tempos faz uma varredura em TODA rede. Ao encontrar os endereços vulneráveis, ele consegue enviar uma cópia do WORM para este(s) rádios. Estes novos rádios infectados vão fazer o mesmo procedimento, scanear e infectar os rádios que eles encontrarem.
O rádio infectado passa a não responder os comandos via WEB, ele remove TODAS as páginas, a única forma de acesso ao rádio é via SSH, se habilitado. Para rádios que não estão com SSH habilitado, a única forma de remover é fazendo o procedimento via TFTP.
O WORM tem um outro processo, que é o de ESCUTA de rede, ele coloca todas as interfaces em modo "promiscuo", onde é possível a captura de TODOS os pacotes. Com um FILTRO neste processo, ele consegue capturar dados do usuário, dados de administração da rede (usuário e senha de acesso ao rádio).
De tempos em tempos, o WORM verifica se foram coletados dados, se sim, ele envia estes dados para o IP informado no início do tópico.
Após algum tempo de atividade, o WORM consegue DESLIGAR o rádio com o comando 'halt', assim o rádio passa a não responder mais, sendo necessária intervenção técnica manual (Remover o rádio da tomada e liga-lo novamente).
Ao inicializar, o vírus toma conta do rádio novamente. Após determinado período, o rádio será desligado novamente.
Considerações finais:
É importante lembrar que, rádios que tenham IP VÁLIDO, vão espalhar o WORM pela rede INTERNA e também para a rede EXTERNA (internet). Caso o Administrador do provedor não remova o vírus rapidamente, provavelmente terá seu ip ou bloco bloqueado em diversas redes, tendo ainda mais problemas.
Após remover e atualizar, trocar TODAS as senhas, pois o vírus enviou estes dados e poderão ser utilizados para um novo ataque.