Перейти к содержимому
Калькуляторы

Всем день добрый.

Начало сегодня самопроизвольно перегружать большую часть антен в одном из сегментов сети.

На всех из них в вкладке main - Custom Scripts Enabled

По типу вирус похож на .skynet .. но уже что-то новое.

Файл добавил в аттач.

Кто-то встречал такое у себя?

mf.tar

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а чего удивительного?

об этом на сайте ubnt предупреждали, и дырки уже заделаны в более новых версиях прошивки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563076#M54982
Изменено пользователем Ancient

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скажите а айрфиберы боятся этого зверя?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

скажите а айрфиберы боятся этого зверя?

 

Devices running the following firmware are NOT affected:

 

8e800d33-763d-49f1-be4e-4b272eb8010c.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если быть точным то прошивки в которых залатана дыра:

airMAX M:

5.5.11 XM/TI

5.5.10u2 XM

5.6.2+ XM/XW/TI

 

AirMAX AC:

7.1.3+

 

ToughSwitch:

1.3.2

 

airGateway:

1.1.5+

 

airFiber:

2.2.1+ AF24/AF24HD

3.0.2.1+ AF5x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кого вирус затронул какое есть решение ? у нас долбануло около 600 антен ездим вручную перенастраиваем(((

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

кого вирус затронул какое есть решение ?

вам же написали, обновлять прошивку

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посмотрел я прищепку , скажу сложного и хитрого в вирусе нет. Он тупо подменяет страницу авторизации , закрывает порты 80 и 443 , меняет имя точки и беспроводной сети , после сканирует точки что подключены к инфицированной и отсылает это все на них.

 

По сути удаляем с точки папку .mf , восстанавливаем страничку index.cgi и в перед дальше работать , при этом менять порты 80 и 443.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если быть точным то прошивки в которых залатана дыра:

airMAX M:

5.5.11 XM/TI

5.5.10u2 XM

5.6.2+ XM/XW/TI

 

AirMAX AC:

7.1.3+

 

ToughSwitch:

1.3.2

 

airGateway:

1.1.5+

 

airFiber:

2.2.1+ AF24/AF24HD

3.0.2.1+ AF5x

 

Где взять прошивку 5.5.10u2 XM ???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть ли вариант как зайти теперь на взломанную точку удаленно, скажем по shh ?

Или я так понимаю даже сброс настроек здесь не поможет?

Изменено пользователем shamovsky

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

shamovsky попробуйте с логином mother и паролем ***er

Изменено пользователем B_TpaHce

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите поможет обновление всех точек доступа до5.6.3 или клиентов тоже обязательно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Где взять прошивку 5.5.10u2 XM ???

Присоединяюсь к вопросу. Где можно взять эту версию с ct ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Желательно обновить до 5.6.5

Ct можно включить через ssh командой enable_ct.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а нафига её брать? ставьте 5.6.5

 

Ставил 5.6.4 и 6.0 бета 8 Пинги очень большие. Показатели airmax упали с 75-80 до 60-65. Клиенты начали жаловаться. Прошил 5.5.11 все ок, как и на 5.5.10. Вроде на XM.v5.5.11 баг с вирусом исправлен.

Изменено пользователем Alex-Poltava

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Желательно обновить до 5.6.5

Ct можно включить через ssh командой enable_ct.

Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Желательно обновить до 5.6.5

Ct можно включить через ssh командой enable_ct.

Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть.

А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть.

 

откройте секрет, что такого есть в этой прошивке что нужна именно она ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2?

профиксена дыра безопасности, через которую вирусы лезут.

 

А чем не устраивает 5.5.11?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обновление прошивки предотвращает заражение терминалов. Обновление зараженных терминалов вирус не лечит.

На сайте убнт есть утилита для лечения. Но после нее надо очень быстро обновить прошивку да 5.6.2+ иначе заражение произойдет вновь. Можно обновиться самой утилитой до 5.6.5, но эта версия не поддерживает кастомные скрипты.

И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.