Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. #41

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    pra galera que nao quer usar o phyton e quer enviar os comando em massa, eu descobri uma outra maneira, pelo AirControl.
    Muito simples!!!

    1. No AirControl, selecione os dispositivos para serem consertos
    2. Clique direito, e selecione 'Tasks/Operations'
    3. Escolhe 'Execute Command'
    4. No campo de comandos, digita "rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;" -- sem aspas
    5. Clique 'Done'

    abracos.... da pra agendar um schedule para ficar passando de tantos em tantos segundos de acordo que vc escolher para os que estao off-line.

  2. #42

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Boa noite galera,

    pra monitorar os radios infectados e novas infecções
    eu resolvi implantar esta regra abaixo
    ela adiciona numa address list o ip dos radios infectados
    e na outra regra o bloqueio



    /ip firewall filter
    add action=drop chain=forward comment="BLOQUEIO INFECTADOS SKYNET" disabled=no \
    dst-address=178.216.144.75 src-address-list=virus_ubnt
    add action=add-src-to-address-list address-list=virus_ubnt \
    address-list-timeout=1w3d chain=forward comment="LISTAR INFECTADOS SKYNET" \
    disabled=no dst-address=178.216.144.75


    o importante é fazer o monitoramento com wireshark se o ip ainda é o mesmo.
    ou mesmo com torch do mikrotik se o worm não foi alterado nesse período.

    Abraços



  3. #43

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    clovis, a segunda regra deve ser antes da primeira..., se ele fizer o DROP .. ele nao chega na outra regra..

  4. #44

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Verdade Alexandre, Vlw

    só alterem a ordem, aki eu usei a ordem certa,
    ms não atentei na hora de postar

    abraços



  5. #45

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Alguém aí tem outro link pra baixar o firmware 5.3.3ajcorra? Ou entao puder me mandar via email...

    Valeu!

  6. #46

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Vendo aqui depois de longo tempo nunca havia me preocupado com esse worm, resolvi colocar a regra no firewall do mikrotik pra criar uma lista de ips que tentem acessar o ip alvo do skynet! Encontrei uns poucos dispositivos com o worm, os ubiquit blz,fiz o procedimento e ficou ok! Mas me deparei com outro fabricante que usa aparentemente o airos 5.0 mais precisamente o dispositivo aquario de referencia PS-5817 uma cpezinha horrivel diga-se de passagem, mas que tenho na rede algumas delas e os ips dos clientes que usam ela apareceram na lista criada! O cruel que ela não deixa entrar por ssh! Dai não ter como fazer o procedimento de remoção do worm como também não tem firmware de atualização e o pior de tudo foi descontinuado! É o descaso dessas empresas que criam cpes pra atender o mercado nacional! Tomei uma decisão de não ariscar mais, tentei com esse aquário (ave maria) com os elsys (ave maria 3 vezes), não tento mais fiquei com os ubiquiti!



  7. #47

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    como eu faço bloqueiar o acesso IN-OUT do login e senha, eu nao sei como fazer, preciso da sua ajuda.

  8. #48

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Bom Galera, como alguns equipamentos nunca estao on-line quando estou ou por vezes eles mudam de Ip ao desligarem e religarem o equipamento, então resolvi ajustar este script para que me mostre no log o nome do usuario junto com IP e MAC para se o equipamento mudar o ip o pego pelo MAc

    /ip firewall filter
    add action=add-src-to-address-list address-list=virus_ubnt \
    address-list-timeout=1w3d chain=forward comment=\
    "LISTAR INFECTADOS SKYNET" disabled=no dst-address=178.216.144.75
    add action=drop chain=forward comment="BLOQUEIO INFECTADOS SKYNET" disabled=\
    no dst-address=178.216.144.75 src-address-list=virus_ubnt
    /system script
    add name=Captura_MAC policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \
    source=":global ipusuario;\r\
    \n:global nomeusuario;\r\
    \n:global ip;\r\
    \n:if ([:len [/ip firewall address-list find list=virus_ubnt]]>0) do={\r\
    \n:log error \"---------- ANTENAS COM VIRUS SKYNET -------------\";\r\
    \n:foreach i in [/ip firewall address-list find list=virus_ubnt] do={:set \
    ipusuario [/ip firewall address-list get \$i address];\r\
    \n:foreach j in=[/ip hotspot active find address=\$ipusuario] do={:set ip \
    [/ip hotspot active get \$j mac];\r\
    \n:foreach k in=[/ip hotspot active find address=\$ipusuario] do={:set nom\
    eusuario [/ip hotspot active get \$k user];\r\
    \n:log error \$nomeusuario;\r\
    \n:log error \$ipusuario;\r\
    \n:log error \$ip;\r\
    \n:log error \"-----------------------------------------------------------\
    ---------------------\";\r\
    \n}};}\r\
    \n/tool e-mail send [email protected] server=XXX.XXX.XXX.XXX to=\
    emaildestino@skynetsemfio.com.br subject=\"IP's Antenas detectadas com Virus\" body=\"\$ip\
    \_\$ipusuario\"}\r\
    \n"
    /system scheduler
    add disabled=no interval=1m name=captura_mac on-event=Captura_MAC policy=\
    ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive \
    start-date=jul/01/2013 start-time=00:00:00




  9. #49

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Citação Postado originalmente por ZeXP Ver Post
    Vendo aqui depois de longo tempo nunca havia me preocupado com esse worm, resolvi colocar a regra no firewall do mikrotik pra criar uma lista de ips que tentem acessar o ip alvo do skynet! Encontrei uns poucos dispositivos com o worm, os ubiquit blz,fiz o procedimento e ficou ok! Mas me deparei com outro fabricante que usa aparentemente o airos 5.0 mais precisamente o dispositivo aquario de referencia PS-5817 uma cpezinha horrivel diga-se de passagem, mas que tenho na rede algumas delas e os ips dos clientes que usam ela apareceram na lista criada! O cruel que ela não deixa entrar por ssh! Dai não ter como fazer o procedimento de remoção do worm como também não tem firmware de atualização e o pior de tudo foi descontinuado! É o descaso dessas empresas que criam cpes pra atender o mercado nacional! Tomei uma decisão de não ariscar mais, tentei com esse aquário (ave maria) com os elsys (ave maria 3 vezes), não tento mais fiquei com os ubiquiti!
    Amigo, entre nas aquários, por telnet, Exemplo :
    Telnet 192.168.1.123 8939
    Elas tem o Telnet Ativo na porta 8939, Coisa que os caras da aquário não informaram nem quando liguei pedindo ajuda.. e ainda disseram que os equipamentos deles não continham tal Vírus. hehehehe Ironicamente o nome de minha empresa leva o mesmo nome "SkyNet Sem Fio"

  10. #50

    Padrão Re: Procedimento para remoção do virus/worm SkyNet !!

    Alexandre muito obrigado pela ajuda. Comprei uma rocket m5 com a versão ainda 5.3 até então nem dei atenção... configurei como ap coloquei na torre e meus problemas começaram... a rocket passava algumas horas ligada e do nada parava de se comunicar com os clientes... então vi seu post segui a risca e até agora show. Valeu muito obrigado!!!