smollmd Posted May 13, 2016 Posted May 13, 2016 Всем день добрый. Начало сегодня самопроизвольно перегружать большую часть антен в одном из сегментов сети. На всех из них в вкладке main - Custom Scripts Enabled По типу вирус похож на .skynet .. но уже что-то новое. Файл добавил в аттач. Кто-то встречал такое у себя? mf.tar Вставить ник Quote
[anp/hsw] Posted May 13, 2016 Posted May 13, 2016 а чего удивительного? об этом на сайте ubnt предупреждали, и дырки уже заделаны в более новых версиях прошивки. Вставить ник Quote
Ancient Posted May 14, 2016 Posted May 14, 2016 (edited) http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563076#M54982 Edited May 14, 2016 by Ancient Вставить ник Quote
webuzel Posted May 16, 2016 Posted May 16, 2016 http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563076#M54982 О, там уже 5.6.5 раздают. Вставить ник Quote
telekodinsk Posted May 17, 2016 Posted May 17, 2016 скажите а айрфиберы боятся этого зверя? Вставить ник Quote
dimonix Posted May 17, 2016 Posted May 17, 2016 скажите а айрфиберы боятся этого зверя? Devices running the following firmware are NOT affected: Вставить ник Quote
NewUse Posted May 17, 2016 Posted May 17, 2016 Если быть точным то прошивки в которых залатана дыра: airMAX M: 5.5.11 XM/TI 5.5.10u2 XM 5.6.2+ XM/XW/TI AirMAX AC: 7.1.3+ ToughSwitch: 1.3.2 airGateway: 1.1.5+ airFiber: 2.2.1+ AF24/AF24HD 3.0.2.1+ AF5x Вставить ник Quote
adik_v Posted May 18, 2016 Posted May 18, 2016 кого вирус затронул какое есть решение ? у нас долбануло около 600 антен ездим вручную перенастраиваем((( Вставить ник Quote
magnum50 Posted May 18, 2016 Posted May 18, 2016 кого вирус затронул какое есть решение ? вам же написали, обновлять прошивку Вставить ник Quote
belokuriha Posted May 18, 2016 Posted May 18, 2016 посмотрел я прищепку , скажу сложного и хитрого в вирусе нет. Он тупо подменяет страницу авторизации , закрывает порты 80 и 443 , меняет имя точки и беспроводной сети , после сканирует точки что подключены к инфицированной и отсылает это все на них. По сути удаляем с точки папку .mf , восстанавливаем страничку index.cgi и в перед дальше работать , при этом менять порты 80 и 443. Вставить ник Quote
Alex-Poltava Posted May 18, 2016 Posted May 18, 2016 Если быть точным то прошивки в которых залатана дыра: airMAX M: 5.5.11 XM/TI 5.5.10u2 XM 5.6.2+ XM/XW/TI AirMAX AC: 7.1.3+ ToughSwitch: 1.3.2 airGateway: 1.1.5+ airFiber: 2.2.1+ AF24/AF24HD 3.0.2.1+ AF5x Где взять прошивку 5.5.10u2 XM ??? Вставить ник Quote
shamovsky Posted May 18, 2016 Posted May 18, 2016 (edited) Есть ли вариант как зайти теперь на взломанную точку удаленно, скажем по shh ? Или я так понимаю даже сброс настроек здесь не поможет? Edited May 18, 2016 by shamovsky Вставить ник Quote
B_TpaHce Posted May 18, 2016 Posted May 18, 2016 (edited) shamovsky попробуйте с логином mother и паролем ***er Edited May 18, 2016 by B_TpaHce Вставить ник Quote
Ugol Posted May 18, 2016 Posted May 18, 2016 Подскажите поможет обновление всех точек доступа до5.6.3 или клиентов тоже обязательно Вставить ник Quote
kosmich7 Posted May 18, 2016 Posted May 18, 2016 Где взять прошивку 5.5.10u2 XM ??? Присоединяюсь к вопросу. Где можно взять эту версию с ct ? Вставить ник Quote
smollmd Posted May 18, 2016 Author Posted May 18, 2016 Желательно обновить до 5.6.5 Ct можно включить через ssh командой enable_ct. Вставить ник Quote
Alex-Poltava Posted May 18, 2016 Posted May 18, 2016 (edited) а нафига её брать? ставьте 5.6.5 Ставил 5.6.4 и 6.0 бета 8 Пинги очень большие. Показатели airmax упали с 75-80 до 60-65. Клиенты начали жаловаться. Прошил 5.5.11 все ок, как и на 5.5.10. Вроде на XM.v5.5.11 баг с вирусом исправлен. Edited May 18, 2016 by Alex-Poltava Вставить ник Quote
kosmich7 Posted May 18, 2016 Posted May 18, 2016 Желательно обновить до 5.6.5 Ct можно включить через ssh командой enable_ct. Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть. Вставить ник Quote
dronis3 Posted May 18, 2016 Posted May 18, 2016 Желательно обновить до 5.6.5 Ct можно включить через ssh командой enable_ct. Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть. А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2? Вставить ник Quote
magnum50 Posted May 18, 2016 Posted May 18, 2016 Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть. откройте секрет, что такого есть в этой прошивке что нужна именно она ? Вставить ник Quote
NewUse Posted May 18, 2016 Posted May 18, 2016 А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2? профиксена дыра безопасности, через которую вирусы лезут. А чем не устраивает 5.5.11? Вставить ник Quote
heffalump Posted May 18, 2016 Posted May 18, 2016 Обновление прошивки предотвращает заражение терминалов. Обновление зараженных терминалов вирус не лечит. На сайте убнт есть утилита для лечения. Но после нее надо очень быстро обновить прошивку да 5.6.2+ иначе заражение произойдет вновь. Можно обновиться самой утилитой до 5.6.5, но эта версия не поддерживает кастомные скрипты. И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.