[smollmd]

Всем день добрый.

Начало сегодня самопроизвольно перегружать большую часть антен в одном из сегментов сети.

На всех из них в вкладке main - Custom Scripts Enabled

По типу вирус похож на .skynet .. но уже что-то новое.

Файл добавил в аттач.

Кто-то встречал такое у себя?

mf.tar

[[anp/hsw]]

а чего удивительного?

об этом на сайте ubnt предупреждали, и дырки уже заделаны в более новых версиях прошивки.

[PLZ2]

обновляйтесь до последней 5.6.4

[Ancient]

http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563076#M54982

Изменено 14 мая, 2016 пользователем Ancient

[webuzel]

http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563076#M54982

О, там уже 5.6.5 раздают.

[telekodinsk]

скажите а айрфиберы боятся этого зверя?

[dimonix]

скажите а айрфиберы боятся этого зверя?

 

Devices running the following firmware are NOT affected:

 

[NewUse]

Если быть точным то прошивки в которых залатана дыра:

airMAX M:

5.5.11 XM/TI

5.5.10u2 XM

5.6.2+ XM/XW/TI

 

AirMAX AC:

7.1.3+

 

ToughSwitch:

1.3.2

 

airGateway:

1.1.5+

 

airFiber:

2.2.1+ AF24/AF24HD

3.0.2.1+ AF5x

[adik_v]

кого вирус затронул какое есть решение ? у нас долбануло около 600 антен ездим вручную перенастраиваем(((

[magnum50]

кого вирус затронул какое есть решение ?

вам же написали, обновлять прошивку

[belokuriha]

посмотрел я прищепку , скажу сложного и хитрого в вирусе нет. Он тупо подменяет страницу авторизации , закрывает порты 80 и 443 , меняет имя точки и беспроводной сети , после сканирует точки что подключены к инфицированной и отсылает это все на них.

 

По сути удаляем с точки папку .mf , восстанавливаем страничку index.cgi и в перед дальше работать , при этом менять порты 80 и 443.

[adik_v]

как это сделать удаленно ?

[Alex-Poltava]

Если быть точным то прошивки в которых залатана дыра:

airMAX M:

5.5.11 XM/TI

5.5.10u2 XM

5.6.2+ XM/XW/TI

 

AirMAX AC:

7.1.3+

 

ToughSwitch:

1.3.2

 

airGateway:

1.1.5+

 

airFiber:

2.2.1+ AF24/AF24HD

3.0.2.1+ AF5x

 

Где взять прошивку 5.5.10u2 XM ???

[rdc]

а нафига её брать? ставьте 5.6.5

[shamovsky]

Есть ли вариант как зайти теперь на взломанную точку удаленно, скажем по shh ?

Или я так понимаю даже сброс настроек здесь не поможет?

Изменено 18 мая, 2016 пользователем shamovsky

[B_TpaHce]

shamovsky попробуйте с логином mother и паролем fucker

Изменено 18 мая, 2016 пользователем B_TpaHce

[Ugol]

Подскажите поможет обновление всех точек доступа до5.6.3 или клиентов тоже обязательно

[kosmich7]

Где взять прошивку 5.5.10u2 XM ???

Присоединяюсь к вопросу. Где можно взять эту версию с ct ?

[smollmd]

Желательно обновить до 5.6.5

Ct можно включить через ssh командой enable_ct.

[Alex-Poltava]

а нафига её брать? ставьте 5.6.5

 

Ставил 5.6.4 и 6.0 бета 8 Пинги очень большие. Показатели airmax упали с 75-80 до 60-65. Клиенты начали жаловаться. Прошил 5.5.11 все ок, как и на 5.5.10. Вроде на XM.v5.5.11 баг с вирусом исправлен.

Изменено 18 мая, 2016 пользователем Alex-Poltava

[kosmich7]

Желательно обновить до 5.6.5

Ct можно включить через ssh командой enable_ct.

Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть.

[dronis3]

Желательно обновить до 5.6.5

Ct можно включить через ssh командой enable_ct.

Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть.

А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2?

[magnum50]

Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть.

 

откройте секрет, что такого есть в этой прошивке что нужна именно она ?

[NewUse]

А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2?

профиксена дыра безопасности, через которую вирусы лезут.

 

А чем не устраивает 5.5.11?

[heffalump]

Обновление прошивки предотвращает заражение терминалов. Обновление зараженных терминалов вирус не лечит.

На сайте убнт есть утилита для лечения. Но после нее надо очень быстро обновить прошивку да 5.6.2+ иначе заражение произойдет вновь. Можно обновиться самой утилитой до 5.6.5, но эта версия не поддерживает кастомные скрипты.

И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям.