Postado originalmente por
SuporteClinitec
Boa tarde, venho por meio de post alertar os companheiros que utilizam antenas UBNT rodando AirOS versão 5.5.x!
Hj pela manhã percebemos que algumas antenas na versão citada não estavam acessando pela porta HTTP somente via SSH, então
via SSH eu dei o comando ls -la e percebi que essas antenas continham arquivos diferentes, segue print abaixo comparando uma antena não infectada com versão 5.6.x e 3 antenas infectadas com versão 5.5.x:
Recomendo também criar uma regra forward na entrada dos seus links dropando acesso externo a porta ssh (22) com destino ao seu prefixo, e também dropar acesso ao ip do site openwrt.org, pois o worm acessa este site para baixar alguns arquivos necessários para infecção, segue abaixo também um link de um post gringo no fórum da UBNT ensinando a remover o worm:
http://community.ubnt.com/t5/airMAX-...t/false#M54959
Comando que estamos utilizando para remover o worm:
cd /etc/persistent/
rm mf.tar
rm rc.poststart
rm -R .mf
cfgmtd -p /etc/persistent/ -w && reboot
(Atualização) Caso não for possível acessar a sua antena, dando uma mensagem de senha inválida logar com user: mother e senha: fucker, pois o worm támbem altera o usuário da antena.
Após colocar esse comando atualizar a antena para versão 5.6.4 mais rápido possível!
Abraços...