Jump to content
Калькуляторы

вирус на 5.5.10?

Всем день добрый.

Начало сегодня самопроизвольно перегружать большую часть антен в одном из сегментов сети.

На всех из них в вкладке main - Custom Scripts Enabled

По типу вирус похож на .skynet .. но уже что-то новое.

Файл добавил в аттач.

Кто-то встречал такое у себя?

mf.tar

Share this post


Link to post
Share on other sites

а чего удивительного?

об этом на сайте ubnt предупреждали, и дырки уже заделаны в более новых версиях прошивки.

Share this post


Link to post
Share on other sites

Если быть точным то прошивки в которых залатана дыра:

airMAX M:

5.5.11 XM/TI

5.5.10u2 XM

5.6.2+ XM/XW/TI

 

AirMAX AC:

7.1.3+

 

ToughSwitch:

1.3.2

 

airGateway:

1.1.5+

 

airFiber:

2.2.1+ AF24/AF24HD

3.0.2.1+ AF5x

Share this post


Link to post
Share on other sites

посмотрел я прищепку , скажу сложного и хитрого в вирусе нет. Он тупо подменяет страницу авторизации , закрывает порты 80 и 443 , меняет имя точки и беспроводной сети , после сканирует точки что подключены к инфицированной и отсылает это все на них.

 

По сути удаляем с точки папку .mf , восстанавливаем страничку index.cgi и в перед дальше работать , при этом менять порты 80 и 443.

Share this post


Link to post
Share on other sites

Если быть точным то прошивки в которых залатана дыра:

airMAX M:

5.5.11 XM/TI

5.5.10u2 XM

5.6.2+ XM/XW/TI

 

AirMAX AC:

7.1.3+

 

ToughSwitch:

1.3.2

 

airGateway:

1.1.5+

 

airFiber:

2.2.1+ AF24/AF24HD

3.0.2.1+ AF5x

 

Где взять прошивку 5.5.10u2 XM ???

Share this post


Link to post
Share on other sites

Есть ли вариант как зайти теперь на взломанную точку удаленно, скажем по shh ?

Или я так понимаю даже сброс настроек здесь не поможет?

Edited by shamovsky

Share this post


Link to post
Share on other sites

а нафига её брать? ставьте 5.6.5

 

Ставил 5.6.4 и 6.0 бета 8 Пинги очень большие. Показатели airmax упали с 75-80 до 60-65. Клиенты начали жаловаться. Прошил 5.5.11 все ок, как и на 5.5.10. Вроде на XM.v5.5.11 баг с вирусом исправлен.

Edited by Alex-Poltava

Share this post


Link to post
Share on other sites

Желательно обновить до 5.6.5

Ct можно включить через ssh командой enable_ct.

Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть.

Share this post


Link to post
Share on other sites

Желательно обновить до 5.6.5

Ct можно включить через ssh командой enable_ct.

Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть.

А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2?

Share this post


Link to post
Share on other sites

Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть.

 

откройте секрет, что такого есть в этой прошивке что нужна именно она ?

Share this post


Link to post
Share on other sites

А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2?

профиксена дыра безопасности, через которую вирусы лезут.

 

А чем не устраивает 5.5.11?

Share this post


Link to post
Share on other sites

Обновление прошивки предотвращает заражение терминалов. Обновление зараженных терминалов вирус не лечит.

На сайте убнт есть утилита для лечения. Но после нее надо очень быстро обновить прошивку да 5.6.2+ иначе заражение произойдет вновь. Можно обновиться самой утилитой до 5.6.5, но эта версия не поддерживает кастомные скрипты.

И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.