smollmd Posted May 13, 2016 Всем день добрый. Начало сегодня самопроизвольно перегружать большую часть антен в одном из сегментов сети. На всех из них в вкладке main - Custom Scripts Enabled По типу вирус похож на .skynet .. но уже что-то новое. Файл добавил в аттач. Кто-то встречал такое у себя? mf.tar Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
[anp/hsw] Posted May 13, 2016 а чего удивительного? об этом на сайте ubnt предупреждали, и дырки уже заделаны в более новых версиях прошивки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
PLZ2 Posted May 14, 2016 обновляйтесь до последней 5.6.4 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ancient Posted May 14, 2016 (edited) http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563076#M54982 Edited May 14, 2016 by Ancient Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
webuzel Posted May 16, 2016 http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563076#M54982 О, там уже 5.6.5 раздают. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
telekodinsk Posted May 17, 2016 скажите а айрфиберы боятся этого зверя? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dimonix Posted May 17, 2016 скажите а айрфиберы боятся этого зверя? Devices running the following firmware are NOT affected: Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted May 17, 2016 Если быть точным то прошивки в которых залатана дыра: airMAX M: 5.5.11 XM/TI 5.5.10u2 XM 5.6.2+ XM/XW/TI AirMAX AC: 7.1.3+ ToughSwitch: 1.3.2 airGateway: 1.1.5+ airFiber: 2.2.1+ AF24/AF24HD 3.0.2.1+ AF5x Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
adik_v Posted May 18, 2016 кого вирус затронул какое есть решение ? у нас долбануло около 600 антен ездим вручную перенастраиваем((( Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
magnum50 Posted May 18, 2016 кого вирус затронул какое есть решение ? вам же написали, обновлять прошивку Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
belokuriha Posted May 18, 2016 посмотрел я прищепку , скажу сложного и хитрого в вирусе нет. Он тупо подменяет страницу авторизации , закрывает порты 80 и 443 , меняет имя точки и беспроводной сети , после сканирует точки что подключены к инфицированной и отсылает это все на них. По сути удаляем с точки папку .mf , восстанавливаем страничку index.cgi и в перед дальше работать , при этом менять порты 80 и 443. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
adik_v Posted May 18, 2016 как это сделать удаленно ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Alex-Poltava Posted May 18, 2016 Если быть точным то прошивки в которых залатана дыра: airMAX M: 5.5.11 XM/TI 5.5.10u2 XM 5.6.2+ XM/XW/TI AirMAX AC: 7.1.3+ ToughSwitch: 1.3.2 airGateway: 1.1.5+ airFiber: 2.2.1+ AF24/AF24HD 3.0.2.1+ AF5x Где взять прошивку 5.5.10u2 XM ??? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted May 18, 2016 а нафига её брать? ставьте 5.6.5 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shamovsky Posted May 18, 2016 (edited) Есть ли вариант как зайти теперь на взломанную точку удаленно, скажем по shh ? Или я так понимаю даже сброс настроек здесь не поможет? Edited May 18, 2016 by shamovsky Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
B_TpaHce Posted May 18, 2016 (edited) shamovsky попробуйте с логином mother и паролем ***er Edited May 18, 2016 by B_TpaHce Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ugol Posted May 18, 2016 Подскажите поможет обновление всех точек доступа до5.6.3 или клиентов тоже обязательно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted May 18, 2016 Где взять прошивку 5.5.10u2 XM ??? Присоединяюсь к вопросу. Где можно взять эту версию с ct ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
smollmd Posted May 18, 2016 Желательно обновить до 5.6.5 Ct можно включить через ssh командой enable_ct. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Alex-Poltava Posted May 18, 2016 (edited) а нафига её брать? ставьте 5.6.5 Ставил 5.6.4 и 6.0 бета 8 Пинги очень большие. Показатели airmax упали с 75-80 до 60-65. Клиенты начали жаловаться. Прошил 5.5.11 все ок, как и на 5.5.10. Вроде на XM.v5.5.11 баг с вирусом исправлен. Edited May 18, 2016 by Alex-Poltava Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted May 18, 2016 Желательно обновить до 5.6.5 Ct можно включить через ssh командой enable_ct. Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
dronis3 Posted May 18, 2016 Желательно обновить до 5.6.5 Ct можно включить через ssh командой enable_ct. Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть. А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
magnum50 Posted May 18, 2016 Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть. откройте секрет, что такого есть в этой прошивке что нужна именно она ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted May 18, 2016 А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2? профиксена дыра безопасности, через которую вирусы лезут. А чем не устраивает 5.5.11? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
heffalump Posted May 18, 2016 Обновление прошивки предотвращает заражение терминалов. Обновление зараженных терминалов вирус не лечит. На сайте убнт есть утилита для лечения. Но после нее надо очень быстро обновить прошивку да 5.6.2+ иначе заражение произойдет вновь. Можно обновиться самой утилитой до 5.6.5, но эта версия не поддерживает кастомные скрипты. И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
