smollmd Опубликовано 13 мая, 2016 Всем день добрый. Начало сегодня самопроизвольно перегружать большую часть антен в одном из сегментов сети. На всех из них в вкладке main - Custom Scripts Enabled По типу вирус похож на .skynet .. но уже что-то новое. Файл добавил в аттач. Кто-то встречал такое у себя? mf.tar Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 13 мая, 2016 а чего удивительного? об этом на сайте ubnt предупреждали, и дырки уже заделаны в более новых версиях прошивки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
PLZ2 Опубликовано 14 мая, 2016 обновляйтесь до последней 5.6.4 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ancient Опубликовано 14 мая, 2016 (изменено) http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563076#M54982 Изменено 14 мая, 2016 пользователем Ancient Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
webuzel Опубликовано 16 мая, 2016 http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563076#M54982 О, там уже 5.6.5 раздают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
telekodinsk Опубликовано 17 мая, 2016 скажите а айрфиберы боятся этого зверя? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dimonix Опубликовано 17 мая, 2016 скажите а айрфиберы боятся этого зверя? Devices running the following firmware are NOT affected: Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 17 мая, 2016 Если быть точным то прошивки в которых залатана дыра: airMAX M: 5.5.11 XM/TI 5.5.10u2 XM 5.6.2+ XM/XW/TI AirMAX AC: 7.1.3+ ToughSwitch: 1.3.2 airGateway: 1.1.5+ airFiber: 2.2.1+ AF24/AF24HD 3.0.2.1+ AF5x Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adik_v Опубликовано 18 мая, 2016 кого вирус затронул какое есть решение ? у нас долбануло около 600 антен ездим вручную перенастраиваем((( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
magnum50 Опубликовано 18 мая, 2016 кого вирус затронул какое есть решение ? вам же написали, обновлять прошивку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
belokuriha Опубликовано 18 мая, 2016 посмотрел я прищепку , скажу сложного и хитрого в вирусе нет. Он тупо подменяет страницу авторизации , закрывает порты 80 и 443 , меняет имя точки и беспроводной сети , после сканирует точки что подключены к инфицированной и отсылает это все на них. По сути удаляем с точки папку .mf , восстанавливаем страничку index.cgi и в перед дальше работать , при этом менять порты 80 и 443. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
adik_v Опубликовано 18 мая, 2016 как это сделать удаленно ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex-Poltava Опубликовано 18 мая, 2016 Если быть точным то прошивки в которых залатана дыра: airMAX M: 5.5.11 XM/TI 5.5.10u2 XM 5.6.2+ XM/XW/TI AirMAX AC: 7.1.3+ ToughSwitch: 1.3.2 airGateway: 1.1.5+ airFiber: 2.2.1+ AF24/AF24HD 3.0.2.1+ AF5x Где взять прошивку 5.5.10u2 XM ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 18 мая, 2016 а нафига её брать? ставьте 5.6.5 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shamovsky Опубликовано 18 мая, 2016 (изменено) Есть ли вариант как зайти теперь на взломанную точку удаленно, скажем по shh ? Или я так понимаю даже сброс настроек здесь не поможет? Изменено 18 мая, 2016 пользователем shamovsky Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_TpaHce Опубликовано 18 мая, 2016 (изменено) shamovsky попробуйте с логином mother и паролем ***er Изменено 18 мая, 2016 пользователем B_TpaHce Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ugol Опубликовано 18 мая, 2016 Подскажите поможет обновление всех точек доступа до5.6.3 или клиентов тоже обязательно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 18 мая, 2016 Где взять прошивку 5.5.10u2 XM ??? Присоединяюсь к вопросу. Где можно взять эту версию с ct ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
smollmd Опубликовано 18 мая, 2016 Желательно обновить до 5.6.5 Ct можно включить через ssh командой enable_ct. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex-Poltava Опубликовано 18 мая, 2016 (изменено) а нафига её брать? ставьте 5.6.5 Ставил 5.6.4 и 6.0 бета 8 Пинги очень большие. Показатели airmax упали с 75-80 до 60-65. Клиенты начали жаловаться. Прошил 5.5.11 все ок, как и на 5.5.10. Вроде на XM.v5.5.11 баг с вирусом исправлен. Изменено 18 мая, 2016 пользователем Alex-Poltava Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 18 мая, 2016 Желательно обновить до 5.6.5 Ct можно включить через ssh командой enable_ct. Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dronis3 Опубликовано 18 мая, 2016 Желательно обновить до 5.6.5 Ct можно включить через ssh командой enable_ct. Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть. А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
magnum50 Опубликовано 18 мая, 2016 Дело не только в сt, нужна именно 5.5.10u2 XM c ct, если есть. откройте секрет, что такого есть в этой прошивке что нужна именно она ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 18 мая, 2016 А что именно другое отличительно в этой 5.5.10u2 XM чем в аналогичной без u2? профиксена дыра безопасности, через которую вирусы лезут. А чем не устраивает 5.5.11? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
heffalump Опубликовано 18 мая, 2016 Обновление прошивки предотвращает заражение терминалов. Обновление зараженных терминалов вирус не лечит. На сайте убнт есть утилита для лечения. Но после нее надо очень быстро обновить прошивку да 5.6.2+ иначе заражение произойдет вновь. Можно обновиться самой утилитой до 5.6.5, но эта версия не поддерживает кастомные скрипты. И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
