Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Virus pro UBNT
Re: Virus pro UBNT
jo, abych mohl vytvořit skynet2
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
-
Stanislav Hrncir
- Příspěvky: 575
- Registrován: 15 years ago
už se něco proslýchá, že v těch skriptech autor nechal svoji ip, snad někdo z Jihlavy.. takže to bude Made in Czech Republic 
0 x
jé, tak to je asi debil a nerozumí sítím ani jejich zařízením a nechá se podle IP vypátrat //ironie
//ironie
0 x
a nebo je to první nakažený zařízení a upravil ho pro předávání někam jinam.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
Sice moc UBNT nemusim, ale kdyz jsem prochazel skripty viru, tak jsem vi vsimul nejakeho souboru s nazvem "tt". A dnes na ten vir upozornil nove registrovany uzivatel TTcko viz. http://www.ispforum.cz/memberlist.php?m ... ile&u=6363
Docela bych rekl, ze by mohl mit neco docineni s autorem toho viru. Mozna by bylo zajimave, zverejnit verejnou IP, pod kterou se registroval a zaslal jediny prizpevek.
Docela bych rekl, ze by mohl mit neco docineni s autorem toho viru. Mozna by bylo zajimave, zverejnit verejnou IP, pod kterou se registroval a zaslal jediny prizpevek.
0 x
Mne to dnes vyplo asi 10 ubiquity zarizeni, z toho 2 byly paterni. Vse se to stalo kolem 12:00 az 13:30.
Dle diskuze na root.cz se vir siril z IP 178.216.144.75, NASTESTI se (alespon u nas) nepokousel z napadeneho zarizeni sirit na neverejky. To by bylo asi na masli.
Osobne sem vira dostal pryc a zamezil mu opetovne napadeni pomoci teto diry skriptem:
Skript popsany na root.cz ma chybu a nefunguje.
Dle diskuze na root.cz se vir siril z IP 178.216.144.75, NASTESTI se (alespon u nas) nepokousel z napadeneho zarizeni sirit na neverejky. To by bylo asi na masli.
Osobne sem vira dostal pryc a zamezil mu opetovne napadeni pomoci teto diry skriptem:
Kód: Vybrat vše
cd /etc/persistent
rm rc.poststart
rm -rf .skynet
echo "echo 'airos.deny += (\"/admin.cgi/.gif\")' >> /etc/lighttpd.conf" > /etc/persistent/rc.poststart
echo 'kill -9 `ps | grep "lighttpd -D" | cut -d" " -f 3`' >> /etc/persistent/rc.poststart
chmod +x /etc/persistent/rc.poststart
cfgmtd -w -p /etc/
reboot
Skript popsany na root.cz ma chybu a nefunguje.
1 x
Jsme ve spojení se společností Ubiquiti, která se k celému případu vyjádřila. Podle slov jejich zástupců firma o incidentu vůbec nevěděla, protože e-maily Martina Kratochvíla o bezpečnostní díře končily ve spamu.
Firma se tedy o všem prý dozvěděla až z vlastního fóra, kde někdo odkázal náš článek. Podle vyjádření firmy by oprava měla trvat jediný den a uživatelé dostanou novou verzi firmware, která bezpečnostní chybu odstraní.
Firma se tedy o všem prý dozvěděla až z vlastního fóra, kde někdo odkázal náš článek. Podle vyjádření firmy by oprava měla trvat jediný den a uživatelé dostanou novou verzi firmware, která bezpečnostní chybu odstraní.
1 x
Když se mrkneš do toho scriptu, tak se scanem začínal od svojí IP adresy. A to směrem nahoru. Takže pokud bylo nakažené něco na veřejné, byla šance, že se na interní nedostal. Případně na to neměl čas - ono to moc rychlé nebude.
Kromě toho, aby mu to šlo, hledal IP na ath0 - a tam je pouze pokud je to router. Jinak je totiž na br0.
Kromě toho, aby mu to šlo, hledal IP na ath0 - a tam je pouze pokud je to router. Jinak je totiž na br0.
Caleb píše:Dle diskuze na root.cz se vir siril z IP 178.216.144.75, NASTESTI se (alespon u nas) nepokousel z napadeneho zarizeni sirit na neverejky. To by bylo asi na masli.
0 x
Jelikož je zde zakázáno se negativně vyjadřovat k provozním záležitostem, tak se holt musím vyjádřit takto: nové fórum tak jak je připravováno považuji za cestu do pekel. Nepřehledný maglajz z toho bude. Do podpisu se mi pozitiva již nevejdou.
-
midnight_man
- Příspěvky: 3680
- Registrován: 13 years ago
primarne to skenuje 80tky porty..preco mate UBNT na verejkach s 80tkou portom?
0 x
Caleb píše:Mne to dnes vyplo asi 10 ubiquity zarizeni, z toho 2 byly paterni. Vse se to stalo kolem 12:00 az 13:30.
Dle diskuze na root.cz se vir siril z IP 178.216.144.75, NASTESTI se (alespon u nas) nepokousel z napadeneho zarizeni sirit na neverejky. To by bylo asi na masli.
Osobne sem vira dostal pryc a zamezil mu opetovne napadeni pomoci teto diry skriptem:Kód: Vybrat vše
cd /etc/persistent
rm rc.poststart
rm -rf .skynet
echo "echo 'airos.deny += (\"/admin.cgi/.gif\")' >> /etc/lighttpd.conf" > /etc/persistent/rc.poststart
echo 'kill -9 `ps | grep "lighttpd -D" | cut -d" " -f 3`' >> /etc/persistent/rc.poststart
chmod +x /etc/persistent/rc.poststart
cfgmtd -w -p /etc/
reboot
Skript popsany na root.cz ma chybu a nefunguje.
Nicméně, přestože dojde k zablokování hacku přes /.gif, stále je možné se do admina dostat přes cokoliv jiného, třeba /.jpg, /.bflm, /.blabla,..... což mě nenechává klidným, takže je sice dobře, že na odstranění a zamezení šíření viru je skript fajn, ale jen do doby, než se objeví další verze, která by už mohla generovat text za /. náhodně. Pokud ubnt nevydá dřív opravu, tak to bude masakr.
Prozatím jsem teda nenašel v síti nic, ale preventivně jsem na těch ohrožených kouscích změnil aspoň port do managementu.
0 x
T-T
na stránkách http://www.ubnt.com/support/downloads je už nějaký 5.3.5 to už je opravný fw?
0 x
Vzhledem k tomu, ze ty zabugovane zmizely z vyberu, tak je to s nejvetsi pravdepodobnosti ten opraveny.
0 x
honzam píše:na stránkách http://www.ubnt.com/support/downloads je už nějaký 5.3.5 to už je opravný fw?
Jednu chvíly byl i 5.4.5... a už je tam i 4.0.1
0 x