Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Lightbulb Procedimento para remoção do virus/worm SkyNet !!

    Caros,

    Segue um passo-a-passo de como evitar que o vírus envie dados de sua rede e também como removê-lo:

    Passo 01: Bloquear o acesso IN->OUT do worm, para evitar envio de informações (login,senha,ips, etc)
    o Worm faz comunicação com o IP: 178.216.144.75, você deve incluir uma regra na tabela FILTER na chain FORWARD, dando um DROP quando o destino for o ip 178.216.144.75. Caso queira monitorar quais clientes estão infectados, basta que, antes da regra de DROP, voce faça a mesma regra com o ACTION setado para LOG, assim todo acesso do worm vai ser logado.

    Passo 02: Entre no rádio via SSH (Recomendo utilizar o PUTTY, http://the.earth.li/~sgtatham/putty/.../x86/putty.exe) e execute os seguintes comandos:
    Código :
    rm /etc/persistent/rc.poststart
    rm -rf /etc/persistent/.skynet
    cfgmtd -w -p /etc/
     reboot

    Neste momento o rádio vai ser reinicializado, quando ele retornar, vai estar sem o vírus, você deve atualizar o rádio com os firmwares disponíveis aqui:

    http://189.84.0.10/ubnt.php

    Estes firmwares, são versões estáveis (5.2.1 e 5.3.3) já com as correções. Estes são para TODA linha M da ubiquiti (Airmax M5,M2,M900). Quando completar o UPLOAD para o rádio vai aparecer uma mensagem em um box laranja, avisando que o firmware é de terceiro, basta confirmar a atualização.

    Depois de atualizado, volte via SSH no rádio e confirme se o vírus foi removido com sucesso, digitando o comand:
    Código :
    ls -l /etc/persistent/.skynet

    o retorno deste comando deve ser:

    Código :
    XM.v5.3.3-ajcorrea# ls -l /etc/persistent/.skynet
    ls: /etc/persistent/.skynet: No such file or directory

    Pronto, agora é só fazer o mesmo procedimento nos outros rádios.



    Para as versões antigas (AirOS 3.x), NanoStation2, NanoStation5 (não airmax) você pode utilizar o firmware 4.0.1 disponível no site da ubnt.

    O motivo de ter feito patch para as versões 5.2.1 e 5.3.3 foi para manter a estabilidade da rede, vários usuários tiveram problemas com a versão 5.3.5 publicada pela UBIQUITI, problema este que em muitos casos o upload do rádio não consegue passar de 1MB, tanto como AP quanto como CLIENT (seja em modo router ou em modo bridge).


    Estes firmwares foram testados por vários outros provedores antes de serem publicados, é uma cópia original do firmware com a correção, não foram feitas alterações nas demais partes.



    Como o vírus funciona:

    01 - A Falha:
    Há uma falha no sistema de autenticação do web-server interno (lighthttpd) onde é possível acessar as configurações via web sem nenhuma senha, bastando informar alguns parâmetros na URL. A ubiquiti desenvolveu um "formulário" de administração para facilitar algumas tarefas (upload,download de arquivos por ex.), este formulário torna a falha mais fácil de ser explorada.

    02 - O WORM SkyNet:
    Uma vez um único rádio infectado, o WORM espalha automaticamente pela rede, ele possui um 'daemon' que de tempos em tempos faz uma varredura em TODA rede. Ao encontrar os endereços vulneráveis, ele consegue enviar uma cópia do WORM para este(s) rádios. Estes novos rádios infectados vão fazer o mesmo procedimento, scanear e infectar os rádios que eles encontrarem.

    O rádio infectado passa a não responder os comandos via WEB, ele remove TODAS as páginas, a única forma de acesso ao rádio é via SSH, se habilitado. Para rádios que não estão com SSH habilitado, a única forma de remover é fazendo o procedimento via TFTP.

    O WORM tem um outro processo, que é o de ESCUTA de rede, ele coloca todas as interfaces em modo "promiscuo", onde é possível a captura de TODOS os pacotes. Com um FILTRO neste processo, ele consegue capturar dados do usuário, dados de administração da rede (usuário e senha de acesso ao rádio).

    De tempos em tempos, o WORM verifica se foram coletados dados, se sim, ele envia estes dados para o IP informado no início do tópico.

    Após algum tempo de atividade, o WORM consegue DESLIGAR o rádio com o comando 'halt', assim o rádio passa a não responder mais, sendo necessária intervenção técnica manual (Remover o rádio da tomada e liga-lo novamente).

    Ao inicializar, o vírus toma conta do rádio novamente. Após determinado período, o rádio será desligado novamente.


    Considerações finais:
    É importante lembrar que, rádios que tenham IP VÁLIDO, vão espalhar o WORM pela rede INTERNA e também para a rede EXTERNA (internet). Caso o Administrador do provedor não remova o vírus rapidamente, provavelmente terá seu ip ou bloco bloqueado em diversas redes, tendo ainda mais problemas.

    Após remover e atualizar, trocar TODAS as senhas, pois o vírus enviou estes dados e poderão ser utilizados para um novo ataque.


    Saudações,
    Alexandre Jeronimo Correa (alexandrecorrea)

    Onda Internet
    Onda Internet - A sua internet mais que r

    IPV6 Ready !

  2. #2
    tecnico chefe Avatar de naldo864
    Ingresso
    May 2010
    Localização
    Carapicuíba, Brazil, Brazil
    Posts
    3.104
    Posts de Blog
    1

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    quem entende ,realmente entende agradeço sua ajuda .



  3. #3

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Mais uma vez Alexandre:
    -OBRIGADOOOOOOOOOOOOO

  4. #4

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Alexandre, tenho uma pequena dúvida: os meus equipamentos estou instalando agora, vieram com o firmware 5.3.2 e atualizei para o 5.3.5 da página da UBNT. Mantenho os mesmos ou atualizo para essa versão que você postou?

    Não estão infectados mas podem vir a ser, por isso já deixei o firmware atualizado. Gostaria de saber se isso é suficiente ou tenho que efetuar mais procedimentos? O próximo que pretendo é fechar as portas desnecessárias, deixando o ssh e o tftp.

    Grato pela atenção.

    Velhinho.



  5. #5

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    A 5.3.5 esta com o patch.. não pega o virus.. o problema da 5.3.5 é que o upload não passa de 1MB ... ja fiz testes onde nao tive problemas com a 5.3.5 .. mas em outros casos.. aconteceu.. entao instalo o 5.3.3 q postei ai !!


    Citação Postado originalmente por Velhinho Ver Post
    Alexandre, tenho uma pequena dúvida: os meus equipamentos estou instalando agora, vieram com o firmware 5.3.2 e atualizei para o 5.3.5 da página da UBNT. Mantenho os mesmos ou atualizo para essa versão que você postou?

    Não estão infectados mas podem vir a ser, por isso já deixei o firmware atualizado. Gostaria de saber se isso é suficiente ou tenho que efetuar mais procedimentos? O próximo que pretendo é fechar as portas desnecessárias, deixando o ssh e o tftp.

    Grato pela atenção.

    Velhinho.

  6. #6

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Valeu a dica Alexandre. Em caso eu limite a banda em 1 Mbps para download e para upload não haveria problemas com esse firmware 5.3.5 correto?
    Como instalei os equipamentos ontem para testar, posso fazer algumas provas e ver em que cenários consigo alguma falha ou limitação. Uma simples cópia de arquivos de um servidor http seria suficiente? Melhor dito, uma cópia e um upload a um ftp ou uma pasta compartilhada pelo samba seria suficiente para testar o upload?

    Agora que você comentou que me atentei para o firmware 5.3.3, na pressa juro que havia lido com final .5 rsss.

    Outra coisa que vem me preocupando: recentemente descobriram que se pode atacar o WPS de alguns APs e consigo revelar inclusive senhas encriptadas WPA2, no caso, os equipamentos da UBNT estão livres dessa falha?

    Desde já grato pela atenção e ajuda.

    Att.,
    Velhinho.



  7. #7

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    não da pra saber como e quando ocorre a limitação do upload ... por ex na minha casa.. estava acontecendo problema de limitação.. e nao esta mais .. nao alterei nada..

    sobre o problema do WPA.. nao sei .. se for problema no protocolo WPA2 .. com certeza tudo e qualquer equipamento com wpa vai estar com problema

  8. #8

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Alexandre, vlw pelas dicas. Eu tinha entrado em contato com o Ubiquiti sobre este problema e o Kevin me indicou um tópico no fórum deles, mas o seu esta bem mais explicativo que o deles. Só uma questão, os equipamentos que eu possuía estavam apresentando problemas do sábado para o domingo(Antes de remover), todos eles desligavam. Este fator confirma para vocês também, ou é esporádico? Outra coisa, realmente é somente da série M que faz efeito né? Pois achei o vírus em um Bullet 5 v3.5 e ele não estava travando.



  9. #9

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    depois de um tempo o virus desliga o equipamento (halt) ... so removendo da tomada para volta-lo ao funcionamento...

    nao vi virus nas versoes anteriores a 3.6.1 .. mas PODE ser que seja possivel.. precisaria fazer uma analise...

  10. #10

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Ótima dica alexandre, Parabéns!

    Só pra complementar o tópico eu criei uma regra nos meus Gateways mikrotik para que bloquei tudo que for relacionado a skynet.tgz e dessa forma não é mais possivel fazer o upload do arquivo para os equipamentos ubiquiti, é claro que se o cara trocar o nome do arquivo ai ferrou, mas acredito que tudo é válido, pelo menos dificulta um pouco mais né?!
    regras do mk:

    /ip firewall filter
    add action=drop chain=forward comment="bloqueio upload virus ubiquiti skynet" content=skynet.tgz disabled=no
    add action=drop chain=forward comment="bloqueio virus ubiquiti skynet" disabled=no dst-address=178.216.144.75
    add action=log chain=forward comment="Log de quem tentou fazer download do virus" content=skynet.tgz disabled=no log-prefix="Virus Ubiquiti - Download"
    add action=log chain=forward comment="Log de quem tentou fazer download do virus" disabled=no dst-address=178.216.144.75 log-prefix="Virus Ubiquiti"



    Outra dica também é para quem usa os rocket como ap ou ptp é ativar o firewall em todos eles com uma regra assim:
    Firewall Ubiquiti
    Action: Drop
    interface: Any
    IP Type: IP
    Source Ip/Mask: 0.0.0.0/0
    Destination IP/Mask: 178.216.144.75/32
    e marque a opção ON no firewall

    dessa forma você isola um pouco mais o problema.

    Lembrando que essas regras não são o fim do problema, é apenas alguma forma de amenizar.

    T+



  11. #11

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    ahh outra coisa, após você criar a regra para bloqueio do conteúdo "skynet.tgz" você não vai conseguir acessar mais nada que contenha a palavra "skynet.tgz" , nem mesmo esse post....rsrsrsrsrs

    pode ser que isso de problema para alguém, mas é uma diga portanto você não é obrigado a fazer.

  12. #12

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Alexandre e Adriano ambos merecem parabéns pela contribuição



  13. #13

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Grande Alexandre sempre com as grandes dicas... utilizo seu script de ack alto nos AP mikrotik ate hj!!! hehehe
    Enfim, aproveitando o assunto que vc falou sobre atualizacao TFTP, eu gostaria de pergunta: Qual eh o ip tftp da linha M5 da ubiquiti? Tentei outro dia utilizando o 192.168.1.6 mais esses sao para chipset Realtek. Vc ou alguem sabe me dizer qual eh o ip tftp da linha M5??
    E é o msm procedimento? Ligar com o reset pressionado??

    Aguardo, obrigado.

  14. #14

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    192.168.1.20



  15. #15

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    alexandre memos que nao fui infectado pelo virus, pois uso ip invalido nas rockets e nao sao tds da minha rede que tem muito conhecimento!
    enfim, eu ainda estou vuneravel por nao ter atualizado as minhas rockets. entao eu quero atualizar minhas rockets, mais como vc falou q o firmware da ubnt 5.3.5, as vezes barra o trafego a 1mb de up, eu queria por esse 5.3.3 seu ai.
    vc ta usando ele recentemente?

  16. #16

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    independente de ter ou nao ip invalido... basta apenas 1 equipamento infectado.. e sua rede em pouco tempo fica toda cheia de "skynet" ..

    use a versao 5.3.3 que esta no meu site, http://189.84.0.10/ubnt.php

    ela eh a versao mais estavel com a correção !!



  17. #17

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Ola Alexandre venho acompanhando este topico e gostaria de fazer uma pergunta.
    você recomenda colocar esta versao 5.3.3 mesmo para equipamentos novos que nunca foram colocados em produção, isso impede uma possivel infcção?

  18. #18

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    No caso de um rocket M5



  19. #19

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    sim, pode usar sem problema.. entre a 5.3.3 e a 5.3.5 nao houveram mudanças.. apenas correções do bug... e mexeram em alguma coisa que em alguns casos.. o upload fica estranho

  20. #20

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Sou novo aqui no fórum, e uso a firmware 5.2.1 Build 6359 nos Rockets, e a firmware 3.6. build 4703 no Nanos 5 Loco, nunca fiz atualização. Há aguma possibilidade de infecção na minha rede?.


    Desde já agradeso a sua atenção.