Página 1 de 5 12345 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Reset em massa equipamentos UBNT

    Bom dia,

    mais alguem "acordou" com vários equipamentos UBNT resetados hoje (14/05) pela manhã?

    Estamos atualizando para ultima versão e a principio tem resolvido o problema.

  2. #2

    Padrão

    Cara ja pegamos uns 10 todos resetados, de acordo com os logs foi por volta de 5:00 da manha.

    Citação Postado originalmente por jonasklatt Ver Post
    Bom dia,

    mais alguem "acordou" com vários equipamentos UBNT resetados hoje (14/05) pela manhã?

    Estamos atualizando para ultima versão e a principio tem resolvido o problema.

  3. #3

    Padrão Re: Reset em massa equipamentos UBNT

    Tambem tive este problema, e ainda estou tendo!
    Alguns clientes que reconfigurei, resetaram de novo.

  4. #4

    Padrão Re: Reset em massa equipamentos UBNT

    Um virus doido ai nos equipamentos da UBNT. A recomendação é atualizar para ultima versao

  5. #5

    Padrão Re: Reset em massa equipamentos UBNT

    como confiar em equipamentos da UBNT esta não e a primeira vez o que acontece . a UBNT tem algo dizer sobre isto

  6. #6
    Analista de Sistemas Avatar de MDdantas
    Ingresso
    Apr 2007
    Localização
    Caruaru - Pernambuco
    Posts
    422

    Padrão Re: Reset em massa equipamentos UBNT

    Quais os modelos do equipamentos de voces foram resetados? Tenho dois enlaces usando powerbeam M5 400 e não houve alterações.

  7. #7
    Analista de Sistemas Avatar de MDdantas
    Ingresso
    Apr 2007
    Localização
    Caruaru - Pernambuco
    Posts
    422

    Padrão Re: Reset em massa equipamentos UBNT

    Não estou utilizando IP´s válidos pela porta WAN.

  8. #8

    Padrão Re: Reset em massa equipamentos UBNT

    Todas as antenas que estiverem com a ultima versão irão resetar, se estão atualizando acreditando que estão resolvendo, terão uma dor de cabeça maior ainda.

    reconfigure-a removam o script, e faça o downgrade,

    Em um tópico uns dias atrás eu comentei sobre esse virus que alguma pessoa havia postado.

    então fica a dica.

    Em paralelo, estamos analisando o funcionamento desse script para tentar criar algo que possa ajudar todos..

  9. #9

    Padrão Re: Reset em massa equipamentos UBNT

    esta acontecendo na minha rede tbm, ja tive mais de 20 casos, alguém tem mais alguma informação?

  10. #10

    Padrão Re: Reset em massa equipamentos UBNT

    Já consegui algumas informações de como o virus funciona. Vou experimentar aqui uma ação se ela executar posto para voces.

    Enviado via GT-I9515L usando UnderLinux App

  11. #11

    Padrão Re: Reset em massa equipamentos UBNT

    Gente ... tó com o mesmo problema ... esperando uma solução também ...

  12. #12

    Padrão Re: Reset em massa equipamentos UBNT

    Cerca de 50 CPE's resetadas e 400 infectados, terminando a limpeza já

    Enviado via ASUS_Z00AD usando UnderLinux App

  13. #13

    Padrão

    estou logando nas CPE's via ssh e passando os comandos abaixo:

    cd /etc/persistent;
    rm rc.poststart;
    rm -rf .skynet;
    rm -rf .mf;
    rm -rf mf.tar;
    killall -9 search; killall -9 mother; killall -9; sleep;
    cfgmtd -w -p /etc/;
    reboot;



    tem resolvido, depois estou atualizando e normaliza, pelo menos aqui funcionou.
    só tive problemas nos equipamentos com versão 5.5.x

  14. #14

    Padrão Re: Reset em massa equipamentos UBNT

    Citação Postado originalmente por rjardim Ver Post
    estou logando nas CPE's via ssh e passando os comandos abaixo:

    cd /etc/persistent;
    rm rc.poststart;
    rm -rf .skynet;
    rm -rf .mf;
    rm -rf mf.tar;
    killall -9 search; killall -9 mother; killall -9; sleep;
    cfgmtd -w -p /etc/;
    reboot;



    tem resolvido, depois estou atualizando e normaliza, pelo menos aqui funcionou.
    só tive problemas nos equipamentos com versão 5.5.x
    recomendo rodar esses comandos abaixo... pois o virus cria usuarios no equipamento.

    /bin/sed -ir '/mcad/ c ' /etc/inittab
    /bin/sed -ir '/mcuser/ c ' /etc/passwd
    /bin/rm -rf /etc/persistent/mcuser
    /bin/rm -rf /etc/persistent/mf.tar
    /bin/rm -rf /etc/persistent/.mf
    /bin/rm -rf /etc/persistent/rc.poststart
    /bin/rm -rf /etc/persistent/rc.prestart
    /bin/kill -HUP `/bin/pidof init`
    /bin/kill -9 `/bin/pidof mcad`
    /bin/kill -9 `/bin/pidof init`
    /bin/kill -9 `/bin/pidof search`
    /bin/kill -9 `/bin/pidof mother`
    /bin/kill -9 `/bin/pidof sleep`
    /bin/cfgmtd -w -p /etc/
    reboot

  15. #15

    Padrão Re: Reset em massa equipamentos UBNT

    Isso afeta a versão 7 do firmware?

  16. #16

    Padrão Re: Reset em massa equipamentos UBNT

    Estou com cerca de 700 equipamentos resetados aqui também

  17. #17

    Padrão Re: Reset em massa equipamentos UBNT

    Como esse vírus entra no equipamento? aqui não tenho nenhum com ip real, isso ocorre somente no caso de deixar login/senha padrão ubnt/ubnt ou é algum bug que da acesso ao sistema?

  18. #18

    Padrão Re: Reset em massa equipamentos UBNT

    Tem que atualizar pra versao 6 que eh beta. Nessa versão
    As antenas ficam com isso "Custom Scripts:Enabled" que fica abaixo do " airSelect: " na pagina" MAIN " enfim quando atualizadas abre a opção para remover o script.

  19. #19

    Padrão Re: Reset em massa equipamentos UBNT

    Clique na imagem para uma versão maior

Nome:	         JE3MQE4LRQJM.jpg
Visualizações:	610
Tamanho: 	52,8 KB
ID:      	63926

  20. #20

    Padrão Re: Reset em massa equipamentos UBNT

    Pelas analises e comparativos que levantamos, acreditamos que o virus vinha se instalando a vários dias atras sem ninguém perceber, programado para executar em determinado horário, no nosso caso as 2h da manha 14/05/16. Equipamentos com usuários/senhas diferentes foram afetados, então não importa o usuário que a antena esta. Equipamentos com ssh desativado também foram afetados, então não foi pela porta 22. Onde possuía DMZ porem a antena ainda respondia pela porta 80 não foram afetados, então não veio pela porta 80. Afetou versoes 5.5.x, em alguns casos resetou equipamento, em outros casos perdemos acesso a porta 80 porem cliente ainda navega. Não sabemos o certo como esse virus se implantou dentro dos UBNTs, mas afetou apenas nossos usuários com IP Publico. De momento parece que solucionou apenas atualizando para 5.6.4. Mas por via das duvidas faça esse procedimento nos equipamentos infectados:
    acesse por ssh
    usuario: mother
    senha: fucker

    se conseguiu logar é porque o equipamento de fato esta infectado
    inserir comandos:

    rm /etc/persistent/.mf/*
    rmdir /etc/persistent/.mf/
    rm /etc/persistent/*
    cfgmtd -w -p /etc/
    reboot

    o equipamento ja não possui mais o usuario mother...
    agora basta realizar o update do firmware para 5.6.4