Virus Ubnt Dezembro 2016

[Madyson]

Na nossa empresa apareceu este mesmo problema (vírus), a solução foi fazer o reset manual direto no botão do equipamento. Depois de fazer o reset usamos o software TFTPD32 para fazer a atualização do equipamento, sugiro que usem a versao anterior 5.6.8 para atualizar.

[lucasmarquessgs]

boa noite, não sei qual meu sentimento de ver que vários "profissionais" da área de redes não faz o minimo de segurança para se prevenir de atacas, a culpa não é da ubnt e de nenhuma marca, a culpa são de vocês mesmos, não fazem um minimo para evitar esses ataques, "tenho cpe da ubnt na versão 5.2 rodando sem problemas" isso sempre vai existir e nunca vai acabar, esta no DNA da internet, isso faz parte da vida da rede mundial de computadores, vejo vários provedores que tem ASN, e se vc pegar o bloco de IP desse provedor e digitar ip no browser a tela de conf da antena já abre solicitando usuário e senha, isso é uma falha terrível, isso é uma brecha, aposto que todos os funcionários de vocês tem acesso aos rádios de vocês da onde eles acessarem, tem que adotar medidas de segurança, controle de firewall e não só copiar e colar regras, isso mostra a fragilidade que existe no provedor, que não tem nenhum profissional conhecedor da área, ou não contratam ninguém pra esse fim, ou uma empresa especializada pra isso, e quem paga o pato no final é o cliente e a culpa vai ser sempre da UBNT do Karate etc...

Cara Você está certo em alguns aspectos que falou mas nossa empresa trabalha com outras marcas de Radio como Mikrotik e intelbras e nunca tivemos nenhum problema de ataque nesses radio. E mesmo nos bloqueando no primeiro ataque q teve portas de uso comum como 80 22 443 23 8080 de acesso externo ocorreu o ataque novamente entao que bom q que você nao teve nenhuma ocorrência na sua Rede. Podemos até ter algumas falhas mas na minha opinião a principal é a do fabricante e so um detalhe entramos em contato com o suporte deles nao sabiam nem dizer oque estava acontecendo muito menos a solucao. E nao sei se viu no site dele estão "pagando recompensas" pra quem acha falhas nos equipamentos deles!!!!


Sent from my iPhone using UnderLinux

[jcmaster85]

Amigo você não sabe o que ta falando, trabalhei por quase 6 anos na OI antiga Brasil Telecom na area de redes e ADSL, ta certo que eu e meus colegas trabalhavamos em ultima milha eramos peão da empresa, mas voce acha que a OI não tem equipe tecnica qualificada para manter a rede deles "segura"??? Te digo que cansei te pegar BDs(bilheite de defeito) em massa por problemas de virus 10/20 num dia, colocava um modem novo e levava o velho, e o que o virus fazia?? simplesmente deletava o firmawire do modem, o modem virava um zumbi somente com o power aceso outros simplesmente resetevam, e como exemplo varios provedores dos EUA, voce vai la no forum ubnt internacional tem provedor de 5mil usuarios,3mil usuarios UBNT e com a mesma queixa, voce fala que nunca pegou virus em sua rede, eu tenho cerca de 450ubnts em minha rede, hoje desses ubnts desde aquela primeira remessa do virus mother fucker peguei em cerca de 200 a 250 equipamentos, e porque os outros 200 não pegaram??? se todos estão exatamente com a mesma configuração, todos com IPs validos, todos com acesso externo, todos com porta ssh ativa porem não a pádrao pois preciso usar o aircontrol para dar comandos aos equipamentos, resumindo, tenho cerca de 800 intelbras 300mk e 450ubnts e esse problema de reset so da em ubnt!!! No forum oficial eles falaram atualize seu equipamento para a ultima versão que ela não roda script é totalmente segura vão na fé, te falo que todas as resetadas estão justamente com a ultima versão 5.6.9 a ultima disponivel e todas com a porcaria do script rodando, pra mim não tem o que fazer com a ubnt, essa variante do virus vai ser solucionada e logo vai aparecer outra porque tem tanta gente puta com a UBNT que ja devem ta bolando alguma coisa nova, se ja não tiver pronto.

boa noite, não sei qual meu sentimento de ver que vários "profissionais" da área de redes não faz o minimo de segurança para se prevenir de atacas, a culpa não é da ubnt e de nenhuma marca, a culpa são de vocês mesmos, não fazem um minimo para evitar esses ataques, "tenho cpe da ubnt na versão 5.2 rodando sem problemas" isso sempre vai existir e nunca vai acabar, esta no DNA da internet, isso faz parte da vida da rede mundial de computadores, vejo vários provedores que tem ASN, e se vc pegar o bloco de IP desse provedor e digitar ip no browser a tela de conf da antena já abre solicitando usuário e senha, isso é uma falha terrível, isso é uma brecha, aposto que todos os funcionários de vocês tem acesso aos rádios de vocês da onde eles acessarem, tem que adotar medidas de segurança, controle de firewall e não só copiar e colar regras, isso mostra a fragilidade que existe no provedor, que não tem nenhum profissional conhecedor da área, ou não contratam ninguém pra esse fim, ou uma empresa especializada pra isso, e quem paga o pato no final é o cliente e a culpa vai ser sempre da UBNT do Karate etc...

[LucianoJr]

Bom dia, alguém sabe se essa atualização de firmware novo da UBNT corrigiu os problemas do vírus ?

https://www.ubnt.com/download/airmax-m/nanobeamm

[lucasmarquessgs]

Bom dia, alguém sabe se essa atualização de firmware novo da UBNT corrigiu os problemas do vírus ?

https://www.ubnt.com/download/airmax-m/nanobeamm

No forum da Ubnt tem algumas pessoas falando que mesmo na versao 6.0 beta tambem pegaram Virus e resetou os equipamentos.


Sent from my iPhone using UnderLinux

[LinkDedicado-BRASIL]

boa noite, não sei qual meu sentimento de ver que vários "profissionais" da área de redes não faz o minimo de segurança para se prevenir de atacas, a culpa não é da ubnt e de nenhuma marca, a culpa são de vocês mesmos, não fazem um minimo para evitar esses ataques, "tenho cpe da ubnt na versão 5.2 rodando sem problemas" isso sempre vai existir e nunca vai acabar, esta no DNA da internet, isso faz parte da vida da rede mundial de computadores, vejo vários provedores que tem ASN, e se vc pegar o bloco de IP desse provedor e digitar ip no browser a tela de conf da antena já abre solicitando usuário e senha, isso é uma falha terrível, isso é uma brecha, aposto que todos os funcionários de vocês tem acesso aos rádios de vocês da onde eles acessarem, tem que adotar medidas de segurança, controle de firewall e não só copiar e colar regras, isso mostra a fragilidade que existe no provedor, que não tem nenhum profissional conhecedor da área, ou não contratam ninguém pra esse fim, ou uma empresa especializada pra isso, e quem paga o pato no final é o cliente e a culpa vai ser sempre da UBNT do Karate etc...

Tempos atras estava na mesma situação que a sua, julgava a rede que administro contra falhas.
Mas erros ocorrem, falha de um tecnico em campo pode causar tais problemas com um pequena vunerabilidade, por tanto não fico dizendo que minha rede é 100% segura.


Com erros de outros administradores tambem se aprende, e digo que muito, pelo menos pra mim.


Da minha rede, tenho ASN com 3 mil IPs válidos, utilizo firewall para bloqueio das principais ações e ataques especificos direto a clientes.


rpassistencia, voce cita que o radio ser acessivel da rede externa é uma fragilidade, poderia informar como faz o bloqueio para a rede externa.


Desde já grato.

[LinkDedicado-BRASIL]

No forum da Ubnt tem algumas pessoas falando que mesmo na versao 6.0 beta tambem pegaram Virus e resetou os equipamentos.


Sent from my iPhone using UnderLinux

Ontem as 23:50hs tivemos uma enxurrada de equipamentos que ficaram sem acesso.


Aqui o ataque iniciou na versão XM... ontem localizamos tambem na XW na versão 5.6.9.


Ja estou com quase todos em 6.0, identificamos que todas as versões estão aptas a ter este virus, abri chamado na UBNT Internacional no dia 13/12 porem até o momento não identificaram uma possivel solução.


Meu maior problema é que possuo clientes de anos que usam final de semana ou madrugada e ainda estão com versões anterior a 5.6.6.


O Virus esta trabalhando em 4 etapas, se identifica quedas constantes (forçando o cliente a reiniciar), na segunda etapa o acesso esta normal com arquivo mf.tgz, na terceira etapa o acesso permanece porem sem funções e ja possui identificação de invadido, na quarta em alguns casos o acesso permane com senha alterada e o mais grave equipamento sem comunicação (apenas mediante TPFP)

[TheGodfather]

Desculpem se eu estiver falando asneira aqui... Mas será que é possível "baixar de forma segura" esse vírus no pc e analisá-lo? Verificar o código dele e ver como trabalha?

[TheGodfather]

Tenho dois que pararam ontem de 13:56. Trouxe pra casa para atualizar via tftp. Mas e se depois que eu colocar na casa do cliente acontecer no outro dia e assim por diante?

[TheGodfather]

na verdade por questão de padrão todos meus equipamentos ubnt estão com a versão 5.6.4... pois ainda nessa versão eu tenho como ter uma grade de canais maior que meu concorrente... pois ele foi forçado pelo vírus a realizar as ultimas atualizações, onde não é mais possível fazer o compliance test, isso ate onde sei... parece que não mais possível fazer essa manobra com as versões recentes.

Tenho aqui uns ubnt com a versão 5.6.9 e uso normalmente o CT.

[lucasmarquessgs]

na verdade por questão de padrão todos meus equipamentos ubnt estão com a versão 5.6.4... pois ainda nessa versão eu tenho como ter uma grade de canais maior que meu concorrente... pois ele foi forçado pelo vírus a realizar as ultimas atualizações, onde não é mais possível fazer o compliance test, isso ate onde sei... parece que não mais possível fazer essa manobra com as versões recentes.

Para Ativar o compliance test é mesmo nas últimas versões basta acessar via ssh e digitar o comando touch /etc/persistent/ct depois save e depois reboot


Sent from my iPhone using UnderLinux

[jodrix]

boa noite a todos, acredito que não é somente eu, mas deve ter uma parcela aqui também de profissionais que não divulgam a receita secreta do seu sucesso, resumindo, se eu postar aqui o que realizo na minha rede, estou abrindo brechas para que meu concorrente pegue tudo mastigado, e dessa forma o meu diferencial fica prejudicado, enfim, sou formado em administração de redes e segurança em dados, durante toda época do meu curso eu nunca tinha ouvido falar em mikrotik, somente em sistemas baseados em linux onde conseguíamos árdua montar e configurar um bom firewall, fui gerente de Ti de uma Grande empresa multinacional, e nas férias que tive conheci uma região carente de internet, pedi conta dessa empresa e me aventurei no mundo ISP, foi onde conheci o Mikrotik, que pra mim é bem mais funcional que o Cisco, na verdade um router mikrotik bem configurado não perde em nada para um Cisco, e assim pude aplicar com eficiência toda a teoria que aprendi na minha época de faculdade, por isso nunca tive problemas com vírus etc, e infelizmente por questão de mercado e concorrência eu não posso ficar aqui passando tudo que sei, de fato eu sei que la dentro do intimo de vocês vão saber do que se trata... a dica é simplesmente estudar sobre protocolos de rede, principalmente o que mais usamos o TCP/IP, e estudar muito sobre firewall... entender na acescência realmente como um pacote é tratado...

Amigo respeito seus conhecimentos, mas gostaria de lembrar que este e um fórum para troca de informações, existe uma área especifica destinada a venda de serviços que é os classificados ,O sol nasce para todos, mas brilha mais para aqueles que acreditam que o amanhã será sempre melhor que hoje, e a solidariedade ainda é a melhor virtude de um ser humano... assim falou o poeta...

Quanto a UBNT, ja deixei de usar a muito tempo, e nao foi por conta de vírus nao, outros problemas como perda de potencia, queima de porta Lan e por ai vai, tive mais de 300 equipamentos com perda de potencia em uma das polaridades, ocasionando lentidão na celula onde estava conectado, ainda tenho alguns sobreviventes e nenhum pegou o tal virus, uso IPs Publicos porem com o SSH desativado , a porta 443 (https) destivada e a porta 80 eu uso la pra cima tipo 9036, medidas simples assim ja são o suficiente para evitar danos maiores.

Mas ao meu ver todas essas medidas são mais REMENDOS do que Falhas de Segurança, se vc precisa ter um especialista em segurança, fazendo regras e mais regras, tem coisa errada e nao e com a segurança. Empresas como a Mikrotik por exemplo, nunca ouvi falar que teve sua segurança quebrada, existem sim updates para correção de bugs mas nao de segurança. Já a UBNT existem até Exploits que exploram suas falhas e vulnerabilidades como Metasploit ou Armitage.

[LinkDedicado-BRASIL]

boa noite a todos, acredito que não é somente eu, mas deve ter uma parcela aqui também de profissionais que não divulgam a receita secreta do seu sucesso, resumindo, se eu postar aqui o que realizo na minha rede, estou abrindo brechas para que meu concorrente pegue tudo mastigado, e dessa forma o meu diferencial fica prejudicado, enfim, sou formado em administração de redes e segurança em dados, durante toda época do meu curso eu nunca tinha ouvido falar em mikrotik, somente em sistemas baseados em linux onde conseguíamos árdua montar e configurar um bom firewall, fui gerente de Ti de uma Grande empresa multinacional, e nas férias que tive conheci uma região carente de internet, pedi conta dessa empresa e me aventurei no mundo ISP, foi onde conheci o Mikrotik, que pra mim é bem mais funcional que o Cisco, na verdade um router mikrotik bem configurado não perde em nada para um Cisco, e assim pude aplicar com eficiência toda a teoria que aprendi na minha época de faculdade, por isso nunca tive problemas com vírus etc, e infelizmente por questão de mercado e concorrência eu não posso ficar aqui passando tudo que sei, de fato eu sei que la dentro do intimo de vocês vão saber do que se trata... a dica é simplesmente estudar sobre protocolos de rede, principalmente o que mais usamos o TCP/IP, e estudar muito sobre firewall... entender na acescência realmente como um pacote é tratado...

Se acha que segurança é ocultar informações, sendo que não te conheço, você não divulga nome do Provedor, não sei qual região do pais ou exterior que se encontra, se preocupa mais com seu concorrente que provavelmente nem sabe quem você é neste forum.


Para ciencia, recebo ataques em massa todo santo dia, vindo da India, China, USA e Brasil, alem de ter sofrido ataque DDOS, minha rede nunca ficou fora por isso.




Não estamos tratando nem de vunerabilidade do Provedor e sim de equipamentos, toda ajuda e troca de informações são bem vindas.

[LinkDedicado-BRASIL]

Amigo respeito seus conhecimentos, mas gostaria de lembrar que este e um fórum para troca de informações, existe uma área especifica destinada a venda de serviços que é os classificados ,O sol nasce para todos, mas brilha mais para aqueles que acreditam que o amanhã será sempre melhor que hoje, e a solidariedade ainda é a melhor virtude de um ser humano... assim falou o poeta...

Quanto a UBNT, ja deixei de usar a muito tempo, e nao foi por conta de vírus nao, outros problemas como perda de potencia, queima de porta Lan e por ai vai, tive mais de 300 equipamentos com perda de potencia em uma das polaridades, ocasionando lentidão na celula onde estava conectado, ainda tenho alguns sobreviventes e nenhum pegou o tal virus, uso IPs Publicos porem com o SSH desativado , a porta 443 (https) destivada e a porta 80 eu uso la pra cima tipo 9036, medidas simples assim ja são o suficiente para evitar danos maiores.

Mas ao meu ver todas essas medidas são mais REMENDOS do que Falhas de Segurança, se vc precisa ter um especialista em segurança, fazendo regras e mais regras, tem coisa errada e nao e com a segurança. Empresas como a Mikrotik por exemplo, nunca ouvi falar que teve sua segurança quebrada, existem sim updates para correção de bugs mas nao de segurança. Já a UBNT existem até Exploits que exploram suas falhas e vulnerabilidades como Metasploit ou Armitage.

UBNT esta deixando a desejar faz tempo, mas não consigo substituir tão prontamente devido ao custo, tempo e mão de obra.


Este problema pelo que vi em outros foruns, principalmente de fora, se instalou em alguma versão antiga e esta se propagando pelo discorery dos radios, ja tenho versões 6.0 infectadas, na versão mais recente esta de propagando muito rapido.


Alguem tem o arquivo infectado e pode postar aqui.... vou tentar achar o IP.

[LinkDedicado-BRASIL]

bom dia a todos, em algum momento o Sr. leu em meus post o sentido de venda? de vender?, acredito que não, deixei claro que não vou postar a solução, solidariedade é uma coisa totalmente diferente do que esta situação se mostra, se estivesse alguém aqui com risco de vida, ou necessitando dos meus conhecimentos para se salvar de uma situação extrema ai sim eu serei solidário, não defendo nenhuma marca, mas digo que os únicos problemas que tive com ubnt forma queima da porta lan porque a antena caiu e encheu de agua, tenho mais de mil cpes instaladas, e meu histórico preciso de rma são de apenas 42 dispositivos com problemas, são mais de 5 anos na area, tenho cpe com mais de 5 anos funcionado, com isso quero dizer na verdade é que existe profissionais e "poficional" existem Provedores e "póvedor ai-fai", e eu não vou colaborar para a prostituição da minha profissão no mercado, mais do que já esta, não vou vender nada, não sou de vender, mesmo porque não preciso disso... sou o tipo de pessoa que apenas diz, se eu estudei e aprendi, todos são capazes, eu não nasci sabendo das coisas eu corri atras e estudei, e aposto com você que 80% das pessoas aqui do forum estão sentadas fazendo outras coisas no seu lazer sem renda de frutos para o futuro prontas para usar o Ctrl+C e Ctrl+V, hoje a solidariedade anda de mãos dadas com a esperteza, pois o malandro esperto, usa do emocional das pessoas de bem, impactando em sua mente a seguinte pergunta: Cade sua Solidariedade Amigo?, e a pessoa de bem em provar o tanto que seu coração é bom e generoso atribui ao questionamento aplicado todo seu conhecimento como resposta, e o malandro esperto SUGA tudo como um parasita, e ainda por cima transfere tal situação para os demais Parasitas igualmente o vírus que alastra os equipamentos da UBNT, e no final vc se torna referencia deles, pois ao contrario de estudar e se esforçar vão ficar sempre te pergunta como resolver, como fazer, etc, vão ate ligar no seu telefone como se fosse amigos íntimos de infância... Infelizmente é assim.

Neste forum conheço tantas pessoas com conhecimento bem profundos em alguns assuntos que auxiliam usuários, não falo dar o peixe, mas dar uma orientação como pescar (digo nem ajudar a pescar).


Com sua expertise faz o que no forum, pelo que entendi não troca informações do que sabe, mas suga que outras pessoas postam.




Deixamos este assunto de lado... ainda tem usuários que precisam de uma luz...

[lucasmarquessgs]

kkkkk eu achava que não tinha jeito mais kkkkk

Cara Boa Noite se Vc se acha tão superior as pessoas que estão no forum e nao quis dizer de jeito nenhum como resolveu o problema e que estuda tanto. E nao sabia como esta no seu post numero 32 que tem um script que ativa novamento o compliance test nas novas versões dos radio ubnt... HUMILDADE é tudo Brother nao vamos levar nada dessa terrar devemos apenas deixar coisas boa kkkkk vlw Bom natal e um prospero ano novo a todos


Sent from my iPhone using UnderLinux

[lucasmarquessgs]

amigão eu não sabia porque não tenho nada na versão atual, e nem parei para tesar isso... se existe que bom... apenas isso...
outra coisa, não sou sabichão não e nada alem disso, simplesmente tenho um firewall funcional... não é questão de humildade, vc é o que vc é, se vc tem um 1 milhão na conta mostra que tem, se vc sabe jogar bola, vc mostra que sabe.. não é uma questão de humildade, é uma questão de tomar a responsabilidade pra sí e não ficar colocando culpa em equipamentos e marcas... nunca monte um provedor e coloque nele clientes sem que vc tem capacidade de gerir tal situação, olhe pra vc e encare a realidade e tome as rédias da situação...kkkk afinal vc deve ter muitos ubnts infectados para se preocupar kkkk

Cara Gracas a Deus nosso provedor já teve Hoje Nao tem mais. Esta tudo funcionando perfeitamente e se fosse questao de firewall outros equipamentos como mikrotik e intelbras tambem sofreriam ataques. Nao sei se você trabalha Na ubnt mas tem erros nos equipamentos deles.


Sent from my iPhone using UnderLinux

[saldanhabr]

bom dia. amigo só uma curiosidade...>

os radios que estao infectados sao todos AIRGRID?

ou tem LITEBEAM no meio?


pois o que percebi que os litebeam nao sofreu ataques no meio do ano apenas os airgrid.

[grupojpr]

Aqui até bullet pegou o vírus
Atualizei a rede toda e troquei a porta SSH e parou os ataques
Nós Mikrotik coloquei os ips q podem acessar SSH e Telnet

Enviado via D5833 usando UnderLinux App

[RadNet]

Bom dia !

Achei que o problema, era só em quem disponibiliza ip fixo para os clientes....

Mais aqui na nossa rede, não disponibilizamos ip fixo para os clientes, e estamos perdendo o acesso as antenas.....


Aguardando a ajuda dos amigos, para resolvermos juntos esse problema....

Deus abençoe a todos !