Script para remover o virus CoinHive do Mikrotik

[AndrioPJ]

Aqueles que tiveram seus Mikrotiks infectados pelo virus CoinHive e precisa remover....
Siga os procedimentos abaixo:

1 - Copie e cole o script abaixo em seu Mikrotik:

Código :

/ip firewall filter remove [find comment=sysadminpxy]
/ip firewall nat remove [find comment=sysadminpxy]
/ip proxy set enabled=no
/ip service disable ftp,www-ssl,api,api-ssl
/user remove ftu
/user group remove ftpgroupe
/system scheduler remove [find where name~"upd"]
/file remove u113.rsc
/system package update set channel=bugfix
:log info "Verificando versao...";
/system package update
check-for-updates once
:delay 1s;
:if ([get installed-version] != [get latest-version]) do={
     :log info "Atualizando versao";
     install;
     } else={
     :log info "Nenhuma atualizacao de versao necessaria"
     }
 
:log info "Verificando firmware...";
/system routerboard
:if ([get current-firmware] != [get upgrade-firmware]) do={
     :log info "Atualizando firmware";
     upgrade;
     :delay 15s;
     /system reboot
     } else={
     :log info "Nenhuma atualizacao de firmware necessaria"
     }

OBS: Repita o passo acima 2x.
Pois na primeira, ele irá remover o vírus e atualizar a RB para a ultima versão Bugfix.
Na segunda, ele irá verificar se precisa atualizar o firmware também.

2 - Altere todas as suas senhas.

3 - Atualize seu Winbox.


Pronto, virus removido.
Agora, não esqueça de manter seus equipamentos atualizados e evitar esse transtorno.
Caso deseje, segue script para atualização em massa dos equipamentos mikrotik:
https://under-linux.org/showthread.php?t=190145

[andrecarlim]

Muito bom Andrio

[Slipminal]

E se não tiver mais acesso ao mikrotik devido ao vírus ter alterado os usuarios e senhas? nem por ssh, nem por mac telnet da acesso, o identify da RB ficou como "test"

[AndrioPJ]

E se não tiver mais acesso ao mikrotik devido ao vírus ter alterado os usuarios e senhas? nem por ssh, nem por mac telnet da acesso, o identify da RB ficou como "test"

Nesse caso, só com reset.

[deson00]

Ola @AndrioPJ ácrito que estamos do mesmo lado pensando nisso fiz uma ferramenta para ajudar na descoberta dos famosos vírus e esta online se puder passe a diante.
Link da ferramenta
https://bylltec.com.br/site/gestorserver/antivirus/

Fis um post
https://under-linux.org/showthread.php?t=190231

Lembrando que a pagina de erro.html do proxy esta sendo afetada para mineração tem que tirar.

[andrecarlim]

Ata! Tu quer que o povo informe a senha de seus equipamentos no teu site? Mas que bondoso!

Gente olho aberto e cinto apertado! Mesmo que a intenção seja boa, você está informando os dados de acesso de seus roteadores e dando acesso a um desconhecido. Eu não estou criticando nada, mas eu não farei. E alerto a ninguém fazer.

[deson00]

Ata! Tu quer que o povo informe a senha de seus equipamentos no teu site? Mas que bondoso!

Gente olho aberto e cinto apertado! Mesmo que a intenção seja boa, você está informando os dados de acesso de seus roteadores e dando acesso a um desconhecido. Eu não estou criticando nada, mas eu não farei. E alerto a ninguém fazer.

Ola, realmente nunca forneça sua senha a estranhos, no entanto não se faz necessário confiar vc pode pegar seu backup colocar em outra rb retirar seus logins e senhas, clientes ou qualquer outra coisa que vc acredite que seria importante e criar um novo login temporário e testar com esta ferramenta, ou configurar uma rb de teste do zero conforme vc acredite estar bem configurada e faz o teste.

Obrigado por comentar.
Abraços

[andrecarlim]

Ola, realmente nunca forneça sua senha a estranhos, no entanto não se faz necessário confiar vc pode pegar seu backup colocar em outra rb retirar seus logins e senhas, clientes ou qualquer outra coisa que vc acredite que seria importante e criar um novo login temporário e testar com esta ferramenta, ou configurar uma rb de teste do zero conforme vc acredite estar bem configurada e faz o teste.

Obrigado por comentar.
Abraços

Claro amigo! Eu tenho certeza que dua intenção é boa, agora pense no bando de gente que pode já estar com outros problemas sérios, e vai usar tua ferramenta, aí vai ver que não adianta (não porque sua ferramenta não funcione, mas porque pode ter outros problemas), aí vai acabar contratando algum consultor meio burro, mas que percebe, como eu o esquema proposto por você, e imagina qual será a conclusão? A foi o amigão lá do Under que ferrou seu equip. e vai te encher... E você sabe né nobre colega, que tem por aí uns vendedor de galinha tirando onda como provedor de internet, eu particularmente torço pra que esses que são assim se ferrem mesmo, mas eu estou aqui imaginando a merda nos dois lados. Tanto o seu que pode se incomodar quanto no cliente mais leigo, que tem dificuldades e boas intenções mesmo, e vai acabar caindo na ladainha dos mercenários.

Bom já falei demais, mas acho que me fiz entender...

[jcmaster85]

Boa noite, em muitos casos que peguei aqui, inclusive em algumas RBs minhas, o virus não chegou a trocar a senha do admin, ele simplesmente cria um range de restrição ao acesso no user, em muitas consegui acessar pelo mac telnet direto na própria rb espetando um cabo direto na lan ou atraves de uma rb que esta conectada fisicamente a outra atraves do neighbor list e consequenteme pelo mac telnet.

E se não tiver mais acesso ao mikrotik devido ao vírus ter alterado os usuarios e senhas? nem por ssh, nem por mac telnet da acesso, o identify da RB ficou como "test"

[kurole]

Rsrsrs boa....... o que fiz

criei um usuário com opção so de leitura, habilitei a API, rodei na ferramenta e depois exclui o usuário.

[infoceu]

valeu mesmo ja nao sabia mais o que fazer, ajudou muito. obrigado.

[xyunamx]

Antes de tudo, esse não o primeiro nem o ultimo ataque,
Nos dias de hoje, o antigo "funcionou deixa" ja não serve nem pra testes.
Alterar portas de acesso padrao de quase nada adianta, ainda mais seguindo tutorias e colocando portas comuns como 8080.
É precisa criar politicas e regras para acesso e funcionamento correto da rede.
Existem varias formas para isso.

Recomendo que aqueles que entendem, estudem ainda mais... e aos novato e com pouco conhecimento existem varios bons consultores, independentes e tambem empresas, com diferentes propostas...

Nao é caro para um provedor pequeno de 300,500 clientes pagar R$ 700,00... R$1000,00 em uma boa consultoria, e ainda investir em conhecimento dos responsaveis pela rede...

Previnir esses e outros tipos de ataques, automatizar backups, redundancias.... essas coisa que inicialmente parecem dificeis e caras, quando implantadas diminuem em muito os gastosmuitas vezes retornando o investimento em menos de 6 meses, e o melhor de tudo... Pertite que os donos e tecnicos desses provedores possam realmente dormir...

[Helton]

Ata! Tu quer que o povo informe a senha de seus equipamentos no teu site? Mas que bondoso!

Gente olho aberto e cinto apertado! Mesmo que a intenção seja boa, você está informando os dados de acesso de seus roteadores e dando acesso a um desconhecido. Eu não estou criticando nada, mas eu não farei. E alerto a ninguém fazer.

Mude a senha antes então uai e faça o teste no site do cara.