Página 1 de 10 123456 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. Caros,

    Segue um passo-a-passo de como evitar que o vírus envie dados de sua rede e também como removê-lo:

    Passo 01: Bloquear o acesso IN->OUT do worm, para evitar envio de informações (login,senha,ips, etc)
    o Worm faz comunicação com o IP: 178.216.144.75, você deve incluir uma regra na tabela FILTER na chain FORWARD, dando um DROP quando o destino for o ip 178.216.144.75. Caso queira monitorar quais clientes estão infectados, basta que, antes da regra de DROP, voce faça a mesma regra com o ACTION setado para LOG, assim todo acesso do worm vai ser logado.

    Passo 02: Entre no rádio via SSH (Recomendo utilizar o PUTTY, http://the.earth.li/~sgtatham/putty/.../x86/putty.exe) e execute os seguintes comandos:
    Código :
    rm /etc/persistent/rc.poststart
    rm -rf /etc/persistent/.skynet
    cfgmtd -w -p /etc/
     reboot

    Neste momento o rádio vai ser reinicializado, quando ele retornar, vai estar sem o vírus, você deve atualizar o rádio com os firmwares disponíveis aqui:

    http://189.84.0.10/ubnt.php

    Estes firmwares, são versões estáveis (5.2.1 e 5.3.3) já com as correções. Estes são para TODA linha M da ubiquiti (Airmax M5,M2,M900). Quando completar o UPLOAD para o rádio vai aparecer uma mensagem em um box laranja, avisando que o firmware é de terceiro, basta confirmar a atualização.

    Depois de atualizado, volte via SSH no rádio e confirme se o vírus foi removido com sucesso, digitando o comand:
    Código :
    ls -l /etc/persistent/.skynet

    o retorno deste comando deve ser:

    Código :
    XM.v5.3.3-ajcorrea# ls -l /etc/persistent/.skynet
    ls: /etc/persistent/.skynet: No such file or directory

    Pronto, agora é só fazer o mesmo procedimento nos outros rádios.



    Para as versões antigas (AirOS 3.x), NanoStation2, NanoStation5 (não airmax) você pode utilizar o firmware 4.0.1 disponível no site da ubnt.

    O motivo de ter feito patch para as versões 5.2.1 e 5.3.3 foi para manter a estabilidade da rede, vários usuários tiveram problemas com a versão 5.3.5 publicada pela UBIQUITI, problema este que em muitos casos o upload do rádio não consegue passar de 1MB, tanto como AP quanto como CLIENT (seja em modo router ou em modo bridge).


    Estes firmwares foram testados por vários outros provedores antes de serem publicados, é uma cópia original do firmware com a correção, não foram feitas alterações nas demais partes.



    Como o vírus funciona:

    01 - A Falha:
    Há uma falha no sistema de autenticação do web-server interno (lighthttpd) onde é possível acessar as configurações via web sem nenhuma senha, bastando informar alguns parâmetros na URL. A ubiquiti desenvolveu um "formulário" de administração para facilitar algumas tarefas (upload,download de arquivos por ex.), este formulário torna a falha mais fácil de ser explorada.

    02 - O WORM SkyNet:
    Uma vez um único rádio infectado, o WORM espalha automaticamente pela rede, ele possui um 'daemon' que de tempos em tempos faz uma varredura em TODA rede. Ao encontrar os endereços vulneráveis, ele consegue enviar uma cópia do WORM para este(s) rádios. Estes novos rádios infectados vão fazer o mesmo procedimento, scanear e infectar os rádios que eles encontrarem.

    O rádio infectado passa a não responder os comandos via WEB, ele remove TODAS as páginas, a única forma de acesso ao rádio é via SSH, se habilitado. Para rádios que não estão com SSH habilitado, a única forma de remover é fazendo o procedimento via TFTP.

    O WORM tem um outro processo, que é o de ESCUTA de rede, ele coloca todas as interfaces em modo "promiscuo", onde é possível a captura de TODOS os pacotes. Com um FILTRO neste processo, ele consegue capturar dados do usuário, dados de administração da rede (usuário e senha de acesso ao rádio).

    De tempos em tempos, o WORM verifica se foram coletados dados, se sim, ele envia estes dados para o IP informado no início do tópico.

    Após algum tempo de atividade, o WORM consegue DESLIGAR o rádio com o comando 'halt', assim o rádio passa a não responder mais, sendo necessária intervenção técnica manual (Remover o rádio da tomada e liga-lo novamente).

    Ao inicializar, o vírus toma conta do rádio novamente. Após determinado período, o rádio será desligado novamente.


    Considerações finais:
    É importante lembrar que, rádios que tenham IP VÁLIDO, vão espalhar o WORM pela rede INTERNA e também para a rede EXTERNA (internet). Caso o Administrador do provedor não remova o vírus rapidamente, provavelmente terá seu ip ou bloco bloqueado em diversas redes, tendo ainda mais problemas.

    Após remover e atualizar, trocar TODAS as senhas, pois o vírus enviou estes dados e poderão ser utilizados para um novo ataque.


    Saudações,
    Alexandre Jeronimo Correa (alexandrecorrea)

    Onda Internet
    Onda Internet - A sua internet mais que r

    IPV6 Ready !

  2. quem entende ,realmente entende agradeço sua ajuda .



  3. Mais uma vez Alexandre:
    -OBRIGADOOOOOOOOOOOOO

  4. Alexandre, tenho uma pequena dúvida: os meus equipamentos estou instalando agora, vieram com o firmware 5.3.2 e atualizei para o 5.3.5 da página da UBNT. Mantenho os mesmos ou atualizo para essa versão que você postou?

    Não estão infectados mas podem vir a ser, por isso já deixei o firmware atualizado. Gostaria de saber se isso é suficiente ou tenho que efetuar mais procedimentos? O próximo que pretendo é fechar as portas desnecessárias, deixando o ssh e o tftp.

    Grato pela atenção.

    Velhinho.



  5. A 5.3.5 esta com o patch.. não pega o virus.. o problema da 5.3.5 é que o upload não passa de 1MB ... ja fiz testes onde nao tive problemas com a 5.3.5 .. mas em outros casos.. aconteceu.. entao instalo o 5.3.3 q postei ai !!


    Citação Postado originalmente por Velhinho Ver Post
    Alexandre, tenho uma pequena dúvida: os meus equipamentos estou instalando agora, vieram com o firmware 5.3.2 e atualizei para o 5.3.5 da página da UBNT. Mantenho os mesmos ou atualizo para essa versão que você postou?

    Não estão infectados mas podem vir a ser, por isso já deixei o firmware atualizado. Gostaria de saber se isso é suficiente ou tenho que efetuar mais procedimentos? O próximo que pretendo é fechar as portas desnecessárias, deixando o ssh e o tftp.

    Grato pela atenção.

    Velhinho.






Tópicos Similares

  1. Automatização para remoção do WORM Skynet
    Por KuruminBranco no fórum Redes
    Respostas: 3
    Último Post: 06-11-2012, 09:49
  2. Qual melhor Kernel para atuallização do sistema
    Por no fórum Servidores de Rede
    Respostas: 8
    Último Post: 24-05-2003, 08:09
  3. Respostas: 3
    Último Post: 27-03-2003, 12:17
  4. Acessar o endereço 200.171.222.100:85 para autenticao do Spe
    Por Hacinn no fórum Servidores de Rede
    Respostas: 1
    Último Post: 10-01-2003, 16:57
  5. scripts para logs do Radius
    Por dboom no fórum Servidores de Rede
    Respostas: 1
    Último Post: 15-09-2002, 15:00

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L