Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

VIR MOTHERFUC*ER NA UBNT ZAŘÍZENÍCH

Návody a problémy s konfigurací.
Odpovědět
Uživatelský avatar
radimasss
Příspěvky: 145
Registrován: 9 years ago

VIR MOTHERFUC*ER NA UBNT ZAŘÍZENÍCH

Příspěvekod radimasss » 7 years ago

ahoj stále víc a víc se stává že u klienta prostě přestane jít internet když se chci vzdáleně dostat na zařízení tak se nedostanu. Přijel sem ke klientovi a připojil sem se rovnou do nanostationy a hele adresa zůstala stejná ale Klient se změnil na AP které neslo SSID: MOTHERFUCKER. co sem se dozvěděl tento "VIR" se umí dostat do flashe a posíláto po vaší síti na ostatní UBNT šroty. Dá se tomu ubránit když přehrajete firmware na nejnovější ale kdo ví jestli i ty už nejsou bezpečné.

Něco málo z mojí teorie:

Infekce zařízení
Jelikož exploit umožňuje nahrání souboru kamkoliv do souborového systému, virus si nahraje veřejný klíč SSH do routeru (bez nutnosti autentizace). Také zkopíruje sám sebe do zařízení. Přihlásí se pomocí SSH a nainstaluje se. Tedy rozbalí si tar, zapíše se do souboru rc.poststart a zapíše se do perzistentní paměti. Pak se restartuje.

Po restartu
Znovu se rozbalí z taru, a spustí soubor mother. Tato matka si nastaví firewall na HTTP/HTTPS – tím můžete poznat infikované zařízení. Dále inicializuje stažení příkazu curl a několika knihoven pomocí wget. Příkaz curl potřebuje pro své šíření a nevejde se do perzistentní paměti.

Následně spustí search a začne skenovat adresní prostor. Pokud najde zařízení, které by mohlo být „airos“, zkusí na něj nahrát pomocí HTTP (HTTPS) opět svůj veřejný klíč a následně se zkusí pomocí SSH přihlásit do zařízení a nainstalovat se.

To však není vše. Skript si ukládá IP adresu pravděpodobně infikovaných zařízení a zkusí je všechny přibližně jednou za 66 666 sekund (18,5 hodiny) resetovat pomocí webového přístupu do továrního nastavení – skript fucker. Reset se podaří jen na zařízení, které se nepodařilo správně infikovat a samozřejmě mají zranitelný firmware.

Dále na hostitelském zařízení pustí odpočet na 666 666 sekund (7,5 dne) a po uplynutí přenastaví ESSID na „motherfucker“ a následně zařízení vypne.

Jinak sem si všiml že to řešili i zde: http://technet.idnes.cz/ubiquiti-a-airo ... rdware_vse
0 x
Nahoru
Robotvor
Příspěvky: 803
Registrován: 14 years ago
antispam: Ano

Příspěvekod Robotvor » 7 years ago

A taky zde na celých 11-ti stranách

viewtopic.php?f=46&t=20268
0 x
Nahoru
Uživatelský avatar
radimasss
Příspěvky: 145
Registrován: 9 years ago

Příspěvekod radimasss » 7 years ago

omlouvám se nevšiml sem si nám se to teď stalo tak to sem píšu :)
0 x
Nahoru
Odpovědět

Zpět na „Konfigurace“