Página 2 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico

  1. Citação Postado originalmente por FANTOXY Ver Post
    Vai uma dica....

    Só seguir passo a passo....

    =====================================================
    This script is used to remove the virus to ubiquiti radios discovered on 05/13/2016 more information at:http://community.ubnt.com/t5/airMAX-...T/td-p/1562940
    This script change default port HTTP for 81
    The exploit use USER:mother and PASS:fucker try it before your user and pass, in test it's work. This script remove this user.

    Multiple radios via SSHPASS



    You can use a single Linux machine with SSHPASS installed to clear all your network equipment improving the sample script clearmf.sh
    Ex: ./clearmf.sh PASS USER NETWORK INITIAL_IP
    Or or create a script with the following command
    sshpass -p PASS ssh -o StrictHostKeyChecking=no USER@IP "wget -qO-https://raw.githubusercontent.com/di...r/desinfect.sh | sh"
    You need install in server SSHPASS

    • Debian: apt-get install sshpass
    • Centos: yum install sshpass


    Direct in Radio



    You may prefer to run the command only a single radio to this run the following command
    wget -qO- https://raw.githubusercontent.com/di...r/desinfect.sh | sh


    Fonte: https://github.com/diegocanton/remove_ubnt_mf
    Obrigado pela contribuição, eu rodei o comando que eu citei acima e depois disso percebi que não loga mais usando o user: mother

  2. Citação Postado originalmente por SuporteClinitec Ver Post
    Boa tarde, venho por meio de post alertar os companheiros que utilizam antenas UBNT rodando AirOS versão 5.5.x!

    Hj pela manhã percebemos que algumas antenas na versão citada não estavam acessando pela porta HTTP somente via SSH, então
    via SSH eu dei o comando ls -la e percebi que essas antenas continham arquivos diferentes, segue print abaixo comparando uma antena não infectada com versão 5.6.x e 3 antenas infectadas com versão 5.5.x:

    Anexo 63906

    Recomendo também criar uma regra forward na entrada dos seus links dropando acesso externo a porta ssh (22) com destino ao seu prefixo, e também dropar acesso ao ip do site openwrt.org, pois o worm acessa este site para baixar alguns arquivos necessários para infecção, segue abaixo também um link de um post gringo no fórum da UBNT ensinando a remover o worm:

    http://community.ubnt.com/t5/airMAX-...t/false#M54959

    Comando que estamos utilizando para remover o worm:

    cd /etc/persistent/
    rm mf.tar
    rm rc.poststart
    rm -R .mf
    cfgmtd -p /etc/persistent/ -w && reboot

    (Atualização) Caso não for possível acessar a sua antena, dando uma mensagem de senha inválida logar com user: mother e senha: fucker, pois o worm támbem altera o usuário da antena.

    Após colocar esse comando atualizar a antena para versão 5.6.4 mais rápido possível!

    Abraços...
    Amigo, nas imagens 3 e 4, onde o firmware é mais antigo e a antena está infectada, você sabe nos dizer o que é o cardlist.txt ?

    Abraço.



  3. Fonte: https://forum-pt.ubnt.com

    =======================================

    Houveram vários relatos de dispositivos AirmaxM sendo infectados ao longo da última semana. A partir das amostras que temos visto, há 2-3 variações diferentes. Temos confirmados, pelo menos, duas destas variações. O vírus explora uma vulnerabilidade conhecida que foi relatada e corrigida no ano passado.

    Este exploit é um HTTP / HTTPS que não requer autenticação. Basta ter um rádio com uma versão antiga e ter a sua interface http / https exposta à Internet para que a infecção ocorra.

    Dispositivos que rodam as seguintes versões de firmware estão OK, contudo recomendamos a atualização para5.6.5, lembrando que os scripts foram desabilitados nesta versão.
    airMAX M
    5.5.11 XM/TI
    5.5.10u2 XM
    5.6.2+ XM/XW/TI
    AirMAX AC
    7.1.3+
    ToughSwitch
    1.3.2
    airGateway
    1.1.5+
    airFiber
    2.2.1+ AF24/AF24HD
    3.0.2.1+ AF5x


    Ferramenta para remoção


    CureMalware-0.7.jar



    Esta ferramenta requer Java. Ele irá procurar e remover ambas as variantes que temos visto, removê-los (e sua bagagem). Ele tem a opção de atualizar o firmware para 5.6.5.

    Uso:

    java -jar CureMalware-0.7.jar
    Exemplo:

    C:\Users\ubnt\Downloads>java -jar CureMalware-0.7.jar
    Skynet/PimPamPum/ExploitIM malware removal tool v0.7 for Ubiquiti devices

    Copyright 2006-2016, Ubiquiti Networks, Inc. <support@ubnt.com>

    This program is proprietary software; you can not redistribute it and/or modify
    it without signed agreement with Ubiquiti Networks, Inc.


    Possible formats for IP(s):
    IP <192.168.1.1>
    IP list <192.168.1.1, 192.168.1.2>
    IP range <192.168.1.1-192.168.1.254>
    Enter IP(s): 192.168.1.31
    Possible actions:
    Check [1]
    Check and Cure [2]
    Check, Cure and Update [3]
    Enter action <1|2|3>: 3
    Enter ssh port [22]:
    Enter user name [ubnt]: ubnt
    Reuse password <y|n>[y]: y
    Processing ubnt@192.168.1.31:22 ...
    Password for ubnt@192.168.1.31:
    Checking...
    CRITICAL: Infected by exploitim
    WARNING: User Script(s) is(are) installed:
    /etc/persistent/rc.poststart
    Review/remove manually!
    Done.
    Cleaning...
    Done.
    IT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE!
    IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
    Preparing Upgrade...
    Done.
    Uploading firmware: /firmwares/XM.bin ...
    Sending... [%100]
    Done.
    Upgrading...
    Current ver: 329220
    New version: 329221
    No need to fix.
    Writing 'u-boot ' to /dev/mtd0(u-boot ) ... [%100]
    Writing 'kernel ' to /dev/mtd2(kernel ) ... [%100]
    Writing 'rootfs ' to /dev/mtd3(rootfs ) ... [%100]
    Done.
    Firmware:
    Estamos lançando a release 5.6.5 com as seguintes alterações.


    - Novo: o uso de scripts personalizados foi desabilitado
    - Novo: syslog habilitado por padrão
    - Fix: As atualizações de segurança (scripts de malware verificar e remoção)


    http://www.ubnt.com/downloads/XN-fw-...60515.2108.bin
    http://www.ubnt.com/downloads/XN-fw-...60515.2119.bin
    http://www.ubnt.com/downloads/XN-fw-...60515.2058.bin

  4. pessoal bom dia estou com alguns radios sento atacados novamente com virus novo mesmo na versão 5.6.5 ou 5.6.6.
    nas atenas setorias os radios dos assinantes ficam com seguinte nome.
    HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD.
    algumas antenas quando colocamos o ip fica mandando abrir o arquivo.
    outras acessamos via puty mais não conseguimos entrar no setup pois a senha foi modificada.

    Clique na imagem para uma versão maior

Nome:	         virus.jpg
Visualizações:	308
Tamanho: 	380,1 KB
ID:      	64446

  5. Muda a porta ssh padrão !!!! se continuar com porta 22 vai continuar tendo problemas.
    refaça todo o procedimento conforme fórum da ubnt explica.
    deixe todos os rádio atualizados pra ultima versão de firmware.






Tags para este Tópico

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L