5.6.4 neriesi problem ak uz mate v zariadeni virus!
5.6.4 je imunna voci tomu virusu a teda pokial je zariadenie ciste...virus nedostane...ak uz ale virus existuje v zariadeni a vy spravite upgrade....zariadenie aj tak skape.
skontrolovat si to mozete cez SCP protokol, lognut sa cez SSH do zariadenia..ak mate v priecinku etc/persistent subor mf.tar tak je tam virus
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Bezpečnostní chyba v AirOS
Mám NBM5 který má login mother a heslo fucker ale v perssistent není žádný soubor mf.tar.
To znamená, že to není infikovaný nebo co? zatím jsem to nikde nenašel s tám mf.tar takže envím ejslti to mám jako jen updatnout a přenastavit nebo jak.
To znamená, že to není infikovaný nebo co? zatím jsem to nikde nenašel s tám mf.tar takže envím ejslti to mám jako jen updatnout a přenastavit nebo jak.
0 x
Ani ls -a nic neukáže? Jinak ono to vypadá že tohle svinstvo nějakou dobu vyčkává než se projeví naplno, podle toho co píšou na ubnt fóru.
0 x
Uživatel co rád kouká profíkům přes rameno :-)
reseni pro jednotky ktere jeste nejsou resetovane
Kód: Vybrat vše
cd /etc/persistent
rm -R mcuser
rm -R .mf
rm *
sed -n '/mother/!p' /etc/passwd > /etc/passwd.new
mv /etc/passwd.new /etc/passwd
cfgmtd -w -p /etc/
killall -9 search
killall -9 mother
killall -9 sleep
reboot
0 x
XM.v5.5.4# cd etc
-sh: cd: can't cd to etc
XM.v5.5.4#
Kde dělám, chybu ?
-sh: cd: can't cd to etc
XM.v5.5.4#
Kde dělám, chybu ?
0 x
cd /etc (s lomítkem) by mělo fungovat.
0 x
Uživatel co rád kouká profíkům přes rameno :-)
XM.v5.5.4# cd etc
-sh: cd: can't cd to etc
XM.v5.5.4# cd /etc/persistent
XM.v5.5.4# cd /etc
XM.v5.5.4# cd /etc
XM.v5.5.4# ls -a
. ethertypes login.defs resolv.conf
.. fstab mime.types server.pem
TZ group modules.d services
airview.conf host.conf passwd shells
atheros.conf hosts persistent startup.list
board.inc httpd ppp sysinit
board.info init.d profile udhcpc
default.cfg inittab protocols udhcpc_services
dropbear lighttpd.conf rc.d version
XM.v5.5.4# cd /etc/persistent
XM.v5.5.4# ls -a
. cardlist.txt dropbear_rsa_host_key
.. dropbear_dss_host_key
XM.v5.5.4#
Je tam vir nebo ne?
-sh: cd: can't cd to etc
XM.v5.5.4# cd /etc/persistent
XM.v5.5.4# cd /etc
XM.v5.5.4# cd /etc
XM.v5.5.4# ls -a
. ethertypes login.defs resolv.conf
.. fstab mime.types server.pem
TZ group modules.d services
airview.conf host.conf passwd shells
atheros.conf hosts persistent startup.list
board.inc httpd ppp sysinit
board.info init.d profile udhcpc
default.cfg inittab protocols udhcpc_services
dropbear lighttpd.conf rc.d version
XM.v5.5.4# cd /etc/persistent
XM.v5.5.4# ls -a
. cardlist.txt dropbear_rsa_host_key
.. dropbear_dss_host_key
XM.v5.5.4#
Je tam vir nebo ne?
0 x
co ti to vypíše za procesy když dáš "ps"?
Tam by to mohlo být vidět
Tam by to mohlo být vidět
0 x
helapc píše:co ti to vypíše za procesy když dáš "ps"?
Tam by to mohlo být vidět
XM.v5.5.4# ps
PID USER VSZ STAT COMMAND
1 ubnt 1972 S init
2 ubnt 0 SW [kthreadd]
3 ubnt 0 SW [ksoftirqd/0]
4 ubnt 0 SW [events/0]
5 ubnt 0 SW [khelper]
8 ubnt 0 SW [async/mgr]
50 ubnt 0 SW [sync_supers]
52 ubnt 0 SW [bdi-default]
54 ubnt 0 SW [kblockd/0]
59 ubnt 0 SW [khubd]
81 ubnt 0 SW [kswapd0]
82 ubnt 0 SW [aio/0]
83 ubnt 0 SW [crypto/0]
165 ubnt 0 SW [mtdblockd]
487 ubnt 1140 S /sbin/hotplug2 --persistent --set-rules-file /usr/etc
934 ubnt 1972 S init
3938 ubnt 1964 S < /bin/watchdog -t 1 /dev/watchdog
3965 ubnt 0 SW [ubnt_poll_sync_]
3966 ubnt 0 SW [ubnt_poll_sync_]
4079 ubnt 6276 S /bin/infctld -m -c
4081 ubnt 5280 S /bin/lighttpd -D -f /etc/lighttpd.conf
4082 ubnt 1940 S /bin/dropbear -F -d /etc/persistent/dropbear_dss_host
4412 ubnt 1996 S /bin/dropbear -F -d /etc/persistent/dropbear_dss_host
4413 ubnt 1976 S -sh
4416 ubnt 1972 R ps
XM.v5.5.4#
0 x
Podle mě tam nic špatnýho není, ale netuším jestli ten vir neumí proces skrýt. To by mohl říct někdo infikovaný co tam má nebo nemá navíc.
0 x
Pokud se pozná infikovaný FW tím že je tam ten soubor mf.tar tak ten jsem zatím nenašel nikde.
0 x
helapc píše:Podle mě tam nic špatnýho není, ale netuším jestli ten vir neumí proces skrýt. To by mohl říct někdo infikovaný co tam má nebo nemá navíc.
Zdravím,
no to vidím jako docela velký problém. Dovedu si představit tu legraci, pokud někdo má stovky, ne-li tisíce UBNT na síti a naráz hrobové ticho. Pokud tento virus dovede to, co je zde naznačeno, některé hodí do defaultu a zbytek vyresetuje na základě znalosti hesla, které bývá stejné. (Ale samozřejmě nemusí). Speciálně - vyresetovaný klient musí být velmi zábavný! Tolik klientů osobně navštívit - to musí být fuška. Neznám záměry autora viru, ale záměrem může být i likvidace. Pokud zná strukturu SW, není problém hodit SW do stavu (téměř) nenapravitelnosti.
Proto bych očekával, že borci v UBNT budou lítat po dvorku ve zpocených košilích a intenzívně hledat řešení, které nám neprodleně sdělí.
Místo toho zde sami vedeme "zasvěcené" diskuze, které můžou, ale také nemusí vést k nápravě. Mezitím může virus v klidu a o to intenzívnějí nahlodávat další a další UBNT stroje. Mám jedno UBNT, které se dnes v 01:23 resetlo do defaultu a tam zatím žádný zde avizovaný soubor není. Z logu jsem vyčet jen, že se to 3x po sobě restartovalo nebo resetlo.
Ví prosím někdo, kdy se poprvé tento problém objevil? Vydalo už UBNT nějaké oficiální prohlášení?
Dík, mpcz, 15/05/2016
Naposledy upravil(a) mpcz dne 15 May 2016 19:42, celkem upraveno 1 x.
0 x
Pokud vím tak jediné vyjádření zatím je že od příští verze fw bude ukončená podpora "rc" skriptů a k dispozici budou jen "na vyžádání" v nějaké speciální verzi..
0 x
Uživatel co rád kouká profíkům přes rameno :-)
Existuje nejaka moznost spustit na cele siti pomoci AirControlu (AC2) nejake scripty, ktere by detekovaly nebo odstranily tento malware?
JK
JK
0 x