Bom dia,
mais alguem "acordou" com vários equipamentos UBNT resetados hoje (14/05) pela manhã?
Estamos atualizando para ultima versão e a principio tem resolvido o problema.
Bom dia,
mais alguem "acordou" com vários equipamentos UBNT resetados hoje (14/05) pela manhã?
Estamos atualizando para ultima versão e a principio tem resolvido o problema.
Tambem tive este problema, e ainda estou tendo!
Alguns clientes que reconfigurei, resetaram de novo.
Um virus doido ai nos equipamentos da UBNT. A recomendação é atualizar para ultima versao
como confiar em equipamentos da UBNT esta não e a primeira vez o que acontece . a UBNT tem algo dizer sobre isto
Quais os modelos do equipamentos de voces foram resetados? Tenho dois enlaces usando powerbeam M5 400 e não houve alterações.
Não estou utilizando IP´s válidos pela porta WAN.
Todas as antenas que estiverem com a ultima versão irão resetar, se estão atualizando acreditando que estão resolvendo, terão uma dor de cabeça maior ainda.
reconfigure-a removam o script, e faça o downgrade,
Em um tópico uns dias atrás eu comentei sobre esse virus que alguma pessoa havia postado.
então fica a dica.
Em paralelo, estamos analisando o funcionamento desse script para tentar criar algo que possa ajudar todos..
esta acontecendo na minha rede tbm, ja tive mais de 20 casos, alguém tem mais alguma informação?
Já consegui algumas informações de como o virus funciona. Vou experimentar aqui uma ação se ela executar posto para voces.
Enviado via GT-I9515L usando UnderLinux App
Gente ... tó com o mesmo problema ... esperando uma solução também ...
Cerca de 50 CPE's resetadas e 400 infectados, terminando a limpeza já
Enviado via ASUS_Z00AD usando UnderLinux App
estou logando nas CPE's via ssh e passando os comandos abaixo:
cd /etc/persistent;
rm rc.poststart;
rm -rf .skynet;
rm -rf .mf;
rm -rf mf.tar;
killall -9 search; killall -9 mother; killall -9; sleep;
cfgmtd -w -p /etc/;
reboot;
tem resolvido, depois estou atualizando e normaliza, pelo menos aqui funcionou.
só tive problemas nos equipamentos com versão 5.5.x
recomendo rodar esses comandos abaixo... pois o virus cria usuarios no equipamento.
/bin/sed -ir '/mcad/ c ' /etc/inittab
/bin/sed -ir '/mcuser/ c ' /etc/passwd
/bin/rm -rf /etc/persistent/mcuser
/bin/rm -rf /etc/persistent/mf.tar
/bin/rm -rf /etc/persistent/.mf
/bin/rm -rf /etc/persistent/rc.poststart
/bin/rm -rf /etc/persistent/rc.prestart
/bin/kill -HUP `/bin/pidof init`
/bin/kill -9 `/bin/pidof mcad`
/bin/kill -9 `/bin/pidof init`
/bin/kill -9 `/bin/pidof search`
/bin/kill -9 `/bin/pidof mother`
/bin/kill -9 `/bin/pidof sleep`
/bin/cfgmtd -w -p /etc/
reboot
Isso afeta a versão 7 do firmware?
Estou com cerca de 700 equipamentos resetados aqui também
Como esse vírus entra no equipamento? aqui não tenho nenhum com ip real, isso ocorre somente no caso de deixar login/senha padrão ubnt/ubnt ou é algum bug que da acesso ao sistema?
Tem que atualizar pra versao 6 que eh beta. Nessa versão
As antenas ficam com isso "Custom Scripts:Enabled" que fica abaixo do " airSelect: " na pagina" MAIN " enfim quando atualizadas abre a opção para remover o script.
Pelas analises e comparativos que levantamos, acreditamos que o virus vinha se instalando a vários dias atras sem ninguém perceber, programado para executar em determinado horário, no nosso caso as 2h da manha 14/05/16. Equipamentos com usuários/senhas diferentes foram afetados, então não importa o usuário que a antena esta. Equipamentos com ssh desativado também foram afetados, então não foi pela porta 22. Onde possuía DMZ porem a antena ainda respondia pela porta 80 não foram afetados, então não veio pela porta 80. Afetou versoes 5.5.x, em alguns casos resetou equipamento, em outros casos perdemos acesso a porta 80 porem cliente ainda navega. Não sabemos o certo como esse virus se implantou dentro dos UBNTs, mas afetou apenas nossos usuários com IP Publico. De momento parece que solucionou apenas atualizando para 5.6.4. Mas por via das duvidas faça esse procedimento nos equipamentos infectados:
acesse por ssh
usuario: mother
senha: fucker
se conseguiu logar é porque o equipamento de fato esta infectado
inserir comandos:
rm /etc/persistent/.mf/*
rmdir /etc/persistent/.mf/
rm /etc/persistent/*
cfgmtd -w -p /etc/
reboot
o equipamento ja não possui mais o usuario mother...
agora basta realizar o update do firmware para 5.6.4