Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico

  1. Boa tarde, venho por meio de post alertar os companheiros que utilizam antenas UBNT rodando AirOS versão 5.5.x!

    Hj pela manhã percebemos que algumas antenas na versão citada não estavam acessando pela porta HTTP somente via SSH, então
    via SSH eu dei o comando ls -la e percebi que essas antenas continham arquivos diferentes, segue print abaixo comparando uma antena não infectada com versão 5.6.x e 3 antenas infectadas com versão 5.5.x:

    Clique na imagem para uma versão maior

Nome:	         worm UBNT.png
Visualizações:	1305
Tamanho: 	240,0 KB
ID:      	63906

    Recomendo também criar uma regra forward na entrada dos seus links dropando acesso externo a porta ssh (22) com destino ao seu prefixo, e também dropar acesso ao ip do site openwrt.org, pois o worm acessa este site para baixar alguns arquivos necessários para infecção, segue abaixo também um link de um post gringo no fórum da UBNT ensinando a remover o worm:

    http://community.ubnt.com/t5/airMAX-...t/false#M54959

    Comando que estamos utilizando para remover o worm:

    cd /etc/persistent/
    rm mf.tar
    rm rc.poststart
    rm -R .mf
    cfgmtd -p /etc/persistent/ -w && reboot

    (Atualização) Caso não for possível acessar a sua antena, dando uma mensagem de senha inválida logar com user: mother e senha: fucker, pois o worm támbem altera o usuário da antena.

    Após colocar esse comando atualizar a antena para versão 5.6.4 mais rápido possível!

    Abraços...
    Última edição por SuporteClinitec; 14-05-2016 às 20:05.

  2. Boa Tarde!

    Como você procedeu para remoção do Worm na rede?

    Alguns Script para rodar nos blocos de IP e fazendo a varredura ?


    Aqui temos alguns com esse problema.

    Clique na imagem para uma versão maior

Nome:	         CustonAtivado.jpg
Visualizações:	259
Tamanho: 	31,8 KB
ID:      	63917




  3. na minha rede afetou todos os painéis (16) e umas 400 CPE's

    aircontrol não consegue acesso, estamos fazendo tudo manual.

  4. Vai uma dica....

    Só seguir passo a passo....

    =====================================================
    This script is used to remove the virus to ubiquiti radios discovered on 05/13/2016 more information at:http://community.ubnt.com/t5/airMAX-...T/td-p/1562940
    This script change default port HTTP for 81
    The exploit use USER:mother and PASS:fucker try it before your user and pass, in test it's work. This script remove this user.

    Multiple radios via SSHPASS



    You can use a single Linux machine with SSHPASS installed to clear all your network equipment improving the sample script clearmf.sh
    Ex: ./clearmf.sh PASS USER NETWORK INITIAL_IP
    Or or create a script with the following command
    sshpass -p PASS ssh -o StrictHostKeyChecking=no USER@IP "wget -qO-https://raw.githubusercontent.com/di...r/desinfect.sh | sh"
    You need install in server SSHPASS

    • Debian: apt-get install sshpass
    • Centos: yum install sshpass


    Direct in Radio



    You may prefer to run the command only a single radio to this run the following command
    wget -qO- https://raw.githubusercontent.com/di...r/desinfect.sh | sh


    Fonte: https://github.com/diegocanton/remove_ubnt_mf

  5. Tentei mas não rodou, não consegui instalar o sshpass

    Enviado via ASUS_Z00AD usando UnderLinux App







Tópicos Similares

  1. Respostas: 4
    Último Post: 11-11-2016, 11:09
  2. Respostas: 4
    Último Post: 27-07-2013, 13:29
  3. Projeto de novo provedor em 5.8Ghz
    Por alamdias no fórum Redes
    Respostas: 47
    Último Post: 11-02-2012, 07:33
  4. Novidades em CPE's ELSYS.
    Por Hailton no fórum Redes
    Respostas: 10
    Último Post: 13-07-2011, 13:06
  5. BLOQUEAR Novo WORM conficker e w32 blaster!!!
    Por newsete no fórum Redes
    Respostas: 8
    Último Post: 26-04-2010, 22:45

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L