+ Responder ao Tópico



  1. #1

    Exclamation Alerta!!! Novo Worm em CPEs UBNT

    Boa tarde, venho por meio de post alertar os companheiros que utilizam antenas UBNT rodando AirOS versão 5.5.x!

    Hj pela manhã percebemos que algumas antenas na versão citada não estavam acessando pela porta HTTP somente via SSH, então
    via SSH eu dei o comando ls -la e percebi que essas antenas continham arquivos diferentes, segue print abaixo comparando uma antena não infectada com versão 5.6.x e 3 antenas infectadas com versão 5.5.x:

    Clique na imagem para uma versão maior

Nome:	         worm UBNT.png
Visualizações:	1781
Tamanho: 	240,0 KB
ID:      	63906

    Recomendo também criar uma regra forward na entrada dos seus links dropando acesso externo a porta ssh (22) com destino ao seu prefixo, e também dropar acesso ao ip do site openwrt.org, pois o worm acessa este site para baixar alguns arquivos necessários para infecção, segue abaixo também um link de um post gringo no fórum da UBNT ensinando a remover o worm:

    http://community.ubnt.com/t5/airMAX-...t/false#M54959

    Comando que estamos utilizando para remover o worm:

    cd /etc/persistent/
    rm mf.tar
    rm rc.poststart
    rm -R .mf
    cfgmtd -p /etc/persistent/ -w && reboot

    (Atualização) Caso não for possível acessar a sua antena, dando uma mensagem de senha inválida logar com user: mother e senha: fucker, pois o worm támbem altera o usuário da antena.

    Após colocar esse comando atualizar a antena para versão 5.6.4 mais rápido possível!

    Abraços...
    Última edição por SuporteClinitec; 14-05-2016 às 20:05.

  2. #2

    Padrão Re: Alerta!!! Novo Worm em CPEs UBNT

    Boa Tarde!

    Como você procedeu para remoção do Worm na rede?

    Alguns Script para rodar nos blocos de IP e fazendo a varredura ?


    Aqui temos alguns com esse problema.

    Clique na imagem para uma versão maior

Nome:	         CustonAtivado.jpg
Visualizações:	492
Tamanho: 	31,8 KB
ID:      	63917

  3. #3

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    na minha rede afetou todos os painéis (16) e umas 400 CPE's

    aircontrol não consegue acesso, estamos fazendo tudo manual.

  4. #4

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    Vai uma dica....

    Só seguir passo a passo....

    =====================================================
    This script is used to remove the virus to ubiquiti radios discovered on 05/13/2016 more information at:http://community.ubnt.com/t5/airMAX-...T/td-p/1562940
    This script change default port HTTP for 81
    The exploit use USER:mother and PASS:fucker try it before your user and pass, in test it's work. This script remove this user.

    Multiple radios via SSHPASS



    You can use a single Linux machine with SSHPASS installed to clear all your network equipment improving the sample script clearmf.sh
    Ex: ./clearmf.sh PASS USER NETWORK INITIAL_IP
    Or or create a script with the following command
    sshpass -p PASS ssh -o StrictHostKeyChecking=no USER@IP "wget -qO-https://raw.githubusercontent.com/di...r/desinfect.sh | sh"
    You need install in server SSHPASS

    • Debian: apt-get install sshpass
    • Centos: yum install sshpass


    Direct in Radio



    You may prefer to run the command only a single radio to this run the following command
    wget -qO- https://raw.githubusercontent.com/di...r/desinfect.sh | sh


    Fonte: https://github.com/diegocanton/remove_ubnt_mf

  5. #5

    Padrão Re: Alerta!!! Novo Worm em CPEs UBNT

    Tentei mas não rodou, não consegui instalar o sshpass

    Enviado via ASUS_Z00AD usando UnderLinux App

  6. #6

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    Citação Postado originalmente por FANTOXY Ver Post
    Vai uma dica....

    Só seguir passo a passo....

    =====================================================
    This script is used to remove the virus to ubiquiti radios discovered on 05/13/2016 more information at:http://community.ubnt.com/t5/airMAX-...T/td-p/1562940
    This script change default port HTTP for 81
    The exploit use USER:mother and PASS:fucker try it before your user and pass, in test it's work. This script remove this user.

    Multiple radios via SSHPASS



    You can use a single Linux machine with SSHPASS installed to clear all your network equipment improving the sample script clearmf.sh
    Ex: ./clearmf.sh PASS USER NETWORK INITIAL_IP
    Or or create a script with the following command
    sshpass -p PASS ssh -o StrictHostKeyChecking=no USER@IP "wget -qO-https://raw.githubusercontent.com/di...r/desinfect.sh | sh"
    You need install in server SSHPASS

    • Debian: apt-get install sshpass
    • Centos: yum install sshpass


    Direct in Radio



    You may prefer to run the command only a single radio to this run the following command
    wget -qO- https://raw.githubusercontent.com/di...r/desinfect.sh | sh


    Fonte: https://github.com/diegocanton/remove_ubnt_mf
    Obrigado pela contribuição, eu rodei o comando que eu citei acima e depois disso percebi que não loga mais usando o user: mother

  7. #7

    Padrão Re: Alerta!!! Novo Worm em CPEs UBNT

    Citação Postado originalmente por SuporteClinitec Ver Post
    Boa tarde, venho por meio de post alertar os companheiros que utilizam antenas UBNT rodando AirOS versão 5.5.x!

    Hj pela manhã percebemos que algumas antenas na versão citada não estavam acessando pela porta HTTP somente via SSH, então
    via SSH eu dei o comando ls -la e percebi que essas antenas continham arquivos diferentes, segue print abaixo comparando uma antena não infectada com versão 5.6.x e 3 antenas infectadas com versão 5.5.x:

    Clique na imagem para uma versão maior

Nome:	         worm UBNT.png
Visualizações:	1781
Tamanho: 	240,0 KB
ID:      	63906

    Recomendo também criar uma regra forward na entrada dos seus links dropando acesso externo a porta ssh (22) com destino ao seu prefixo, e também dropar acesso ao ip do site openwrt.org, pois o worm acessa este site para baixar alguns arquivos necessários para infecção, segue abaixo também um link de um post gringo no fórum da UBNT ensinando a remover o worm:

    http://community.ubnt.com/t5/airMAX-...t/false#M54959

    Comando que estamos utilizando para remover o worm:

    cd /etc/persistent/
    rm mf.tar
    rm rc.poststart
    rm -R .mf
    cfgmtd -p /etc/persistent/ -w && reboot

    (Atualização) Caso não for possível acessar a sua antena, dando uma mensagem de senha inválida logar com user: mother e senha: fucker, pois o worm támbem altera o usuário da antena.

    Após colocar esse comando atualizar a antena para versão 5.6.4 mais rápido possível!

    Abraços...
    Amigo, nas imagens 3 e 4, onde o firmware é mais antigo e a antena está infectada, você sabe nos dizer o que é o cardlist.txt ?

    Abraço.

  8. #8

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    Fonte: https://forum-pt.ubnt.com

    =======================================

    Houveram vários relatos de dispositivos AirmaxM sendo infectados ao longo da última semana. A partir das amostras que temos visto, há 2-3 variações diferentes. Temos confirmados, pelo menos, duas destas variações. O vírus explora uma vulnerabilidade conhecida que foi relatada e corrigida no ano passado.

    Este exploit é um HTTP / HTTPS que não requer autenticação. Basta ter um rádio com uma versão antiga e ter a sua interface http / https exposta à Internet para que a infecção ocorra.

    Dispositivos que rodam as seguintes versões de firmware estão OK, contudo recomendamos a atualização para5.6.5, lembrando que os scripts foram desabilitados nesta versão.
    airMAX M
    5.5.11 XM/TI
    5.5.10u2 XM
    5.6.2+ XM/XW/TI
    AirMAX AC
    7.1.3+
    ToughSwitch
    1.3.2
    airGateway
    1.1.5+
    airFiber
    2.2.1+ AF24/AF24HD
    3.0.2.1+ AF5x


    Ferramenta para remoção


    CureMalware-0.7.jar



    Esta ferramenta requer Java. Ele irá procurar e remover ambas as variantes que temos visto, removê-los (e sua bagagem). Ele tem a opção de atualizar o firmware para 5.6.5.

    Uso:

    java -jar CureMalware-0.7.jar
    Exemplo:

    C:\Users\ubnt\Downloads>java -jar CureMalware-0.7.jar
    Skynet/PimPamPum/ExploitIM malware removal tool v0.7 for Ubiquiti devices

    Copyright 2006-2016, Ubiquiti Networks, Inc. <[email protected]>

    This program is proprietary software; you can not redistribute it and/or modify
    it without signed agreement with Ubiquiti Networks, Inc.


    Possible formats for IP(s):
    IP <192.168.1.1>
    IP list <192.168.1.1, 192.168.1.2>
    IP range <192.168.1.1-192.168.1.254>
    Enter IP(s): 192.168.1.31
    Possible actions:
    Check [1]
    Check and Cure [2]
    Check, Cure and Update [3]
    Enter action <1|2|3>: 3
    Enter ssh port [22]:
    Enter user name [ubnt]: ubnt
    Reuse password <y|n>[y]: y
    Processing [email protected]:22 ...
    Password for [email protected]:
    Checking...
    CRITICAL: Infected by exploitim
    WARNING: User Script(s) is(are) installed:
    /etc/persistent/rc.poststart
    Review/remove manually!
    Done.
    Cleaning...
    Done.
    IT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE!
    IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
    Preparing Upgrade...
    Done.
    Uploading firmware: /firmwares/XM.bin ...
    Sending... [%100]
    Done.
    Upgrading...
    Current ver: 329220
    New version: 329221
    No need to fix.
    Writing 'u-boot ' to /dev/mtd0(u-boot ) ... [%100]
    Writing 'kernel ' to /dev/mtd2(kernel ) ... [%100]
    Writing 'rootfs ' to /dev/mtd3(rootfs ) ... [%100]
    Done.
    Firmware:
    Estamos lançando a release 5.6.5 com as seguintes alterações.


    - Novo: o uso de scripts personalizados foi desabilitado
    - Novo: syslog habilitado por padrão
    - Fix: As atualizações de segurança (scripts de malware verificar e remoção)


    http://www.ubnt.com/downloads/XN-fw-...60515.2108.bin
    http://www.ubnt.com/downloads/XN-fw-...60515.2119.bin
    http://www.ubnt.com/downloads/XN-fw-...60515.2058.bin

  9. #9

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    pessoal bom dia estou com alguns radios sento atacados novamente com virus novo mesmo na versão 5.6.5 ou 5.6.6.
    nas atenas setorias os radios dos assinantes ficam com seguinte nome.
    HACKED-ROUTER-HELP-SOS-DEFAULT-PASSWORD.
    algumas antenas quando colocamos o ip fica mandando abrir o arquivo.
    outras acessamos via puty mais não conseguimos entrar no setup pois a senha foi modificada.

    Clique na imagem para uma versão maior

Nome:	         virus.jpg
Visualizações:	610
Tamanho: 	380,1 KB
ID:      	64446

  10. #10
    Avatar de leandrolopeswifi
    Ingresso
    Oct 2008
    Localização
    Porto Alegre - RS - Brasil
    Posts
    1.745
    Posts de Blog
    1

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    Muda a porta ssh padrão !!!! se continuar com porta 22 vai continuar tendo problemas.
    refaça todo o procedimento conforme fórum da ubnt explica.
    deixe todos os rádio atualizados pra ultima versão de firmware.

  11. #11

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    aqui ainda nao tinha atualizado todas as antenas, as com firmware abaixo do 5.6.2 trocou a senha e desabilitou o ssh, so indo no cliente para resetar, so que estao navegando .

  12. #12

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    fiz o procedimento no ultimo ataque deixei todas as antenas dos clientes com ssh desabilitado e mesmo assim o vírus entrou dessa vez.

  13. #13

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    Boa tarde Marcell , conseguiu resolver, estou com um amigo desesperado, ele vai no cliente reseta , atualiza , configura novamente , porem fica caindo o pppoe cada minuto, vc teria alguma dica para ele, desde já muito obrigado.

  14. #14

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    Tambem cai na besteira de não atualizar todas e estou com umas 100 com esse mesmo problema a grande maioria com 5.6.4, ssh desativado ou porta alterada e http e https voce coloca a senha na pagina porem ela so atualiza e volta do mesmo jeito como se não tivesse feito nada, todos navegam porem alguns relatam que fica caindo e voltando e assim estamos atualizando conforme a demanda, se alguem tiver uma solução remoto por favor postar pois todos estamos indo na casa do assinante.

  15. #15

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    não tenho muita solução só mesmo atualizando mais descobrir que algumas antenas ficam caindo quando usa a potencia máxima. diminui 1db que ela estabiliza a conexão.

  16. #16

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    Em nosso provedor criamos uma versão customizada do firmware, então mudei os nomes dos scripts personalizados que o vírus utiliza pra poder funcionar. Nem esse nem outro vírus vai poder ir muito longe dessa forma.

  17. #17

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    Citação Postado originalmente por simakwm Ver Post
    Em nosso provedor criamos uma versão customizada do firmware, então mudei os nomes dos scripts personalizados que o vírus utiliza pra poder funcionar. Nem esse nem outro vírus vai poder ir muito longe dessa forma.
    Regras de firewall?

    Enviado via MotoE2(4G-LTE) usando UnderLinux App

  18. #18

    Padrão Re: Alerta Novo Worm em CPEs UBNT

    Citação Postado originalmente por FANTOXY Ver Post
    Regras de firewall?
    Dentro do equipamento? Não.
    O que quis dizer é que se um vírus conseguir criar um rc.poststart, ou rc.presysinit, etc, o nano irá ignorar esses arquivos. Ele irá procurar por outros nomes de script.