SaToR Posted May 25, 2016 · Report post Здравствуйте прошил по рекомендации производителя последней прошивкой - 5.6.5, которая типа с определением "левых" скриптов. И на главной антенне у меня высветилось сообщение в админке, что найден какой то скрипт - "poststop". Вопрос, кто нибудь знает что это? Нужен он, или это реально вирус и его надо грохнуть? Кстати как раз у этой антенны, есть проблема что после перезагрузки из админки, она часто не поднимает сеть вай фай и приходится лезть ребутить ее по питанию, может с этим левым скриптом это связано? Заранее спс! Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted May 25, 2016 · Report post Если сами ничего не писали -- то, да, вирус, на сколько я помню в 5.6.5 он всё равно не работает(прошивка не определят, определяла она ещё с 5.5 кажись, а не запускает), но, если хотите -- можете грохнуть. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sokrat Posted May 26, 2016 · Report post Здравствуйте прошил по рекомендации производителя последней прошивкой - 5.6.5, которая типа с определением "левых" скриптов. И на главной антенне у меня высветилось сообщение в админке, что найден какой то скрипт - "poststop". Вопрос, кто нибудь знает что это? Нужен он, или это реально вирус и его надо грохнуть? Кстати как раз у этой антенны, есть проблема что после перезагрузки из админки, она часто не поднимает сеть вай фай и приходится лезть ребутить ее по питанию, может с этим левым скриптом это связано? Заранее спс! Здравствуйте, Коллеги и Партнеры Этим письмом хотим Вас предупредить о том, что не так давно появились сообщения о вирусе, который “поражает” оборудование Ubiquiti на “старых” прошивках На “зараженную” вирусом оборудование можно попасть с логином mother и паролем ***er Обновление прошивки предотвращает заражение терминалов. Обновление зараженных терминалов вирус не лечит. На сайте UBNT есть утилита для лечения. Но после нее надо очень быстро обновить прошивку до 5.6.2+ иначе заражение произойдет вновь. Можно обновиться самой утилитой до 5.6.5, но эта версия не поддерживает кастомные скрипты. И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям. Зараженное устройство показывает наличие запущенного скрипта (фото) если только вы сами не прописывали собственные скрипты. Proshivka UBNT.jpg Прошивки в которых точно удалена эта уязвимость airMAX M: 5.5.11 XM/TI 5.5.10u2 XM 5.6.2+ XM/XW/TI AirMAX AC: 7.1.3+ ToughSwitch: 1.3.2 airGateway: 1.1.5+ airFiber: 2.2.1+ AF24/AF24HD 3.0.2.1+ AF5x Инструмент для удаления вируса ркомендуемый UBNT Еще один «неофициальный» инструмент устанавливается на смартфон с Adroid. С его помощью можно прлечить устройство и обновить прошивку C Уважением, коллектив компании Роутербокс www.routerbox.ru Тел. +7(495)970-77-70 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nanaiki Posted May 26, 2016 · Report post Коллеги, что-то вы запоздали, уже только ленивый (мы) об этом не написал :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sokrat Posted May 26, 2016 · Report post запоздали, Это про кого? Мне это пришло скажу так, как спам. А во вторых я из сети убунтушки выкорчил как Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SaToR Posted May 26, 2016 · Report post Коллеги, что-то вы запоздали, уже только ленивый (мы) об этом не написал :) Лишний раз повторить на форуме думаю не вредно, я бы не сказал, что все об этом знают. Я же свою антенну проверил утилитой от сюда - http://lantorg.com/article/starye-proshivki-airos-ubiquiti-porazhayutsya-virusom . Написала мне логах следующее по итогам проверки: Not infected by .skynet or pimpampum or exploitim WARNING: User Script(s) is(are) installed: /etc/persistent/rc.poststop Review/remove manually! Так что опасных заражений как понял нет, но какой то левый скрипт все же стоит, которого я не ставил. Я одно время решил попробовать утилиту официальную - aircontrol-1.1.01-beta-win32 , может она этот скрипт поставила, ни кто не в курсе? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
[anp/hsw] Posted May 26, 2016 · Report post командой cat /etc/persistent/rc.poststop можно посмотреть, что там за скрипт не разберетесь - киньте вывод сюда. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted May 26, 2016 · Report post Вообще не ясно кто создал этот вирус, возможно он нужен что бы пользователи отказались от старого оборудования и перешли на новое, в политике убнт это последнее время четко просматривается. Ведь многие операторы уже купили это оборудование и оно работает многие годы, следовательно новое оборудование не покупают, а тут раз и вирус=) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SaToR Posted May 27, 2016 · Report post ' timestamp='1464289799' post='1286416']командой cat /etc/persistent/rc.poststop можно посмотреть, что там за скрипт не разберетесь - киньте вывод сюда. Скрипт из одной строчки - /tmp/init.s & Как понял какая то инициализация при загрузке, только зачем она нужна и откуда она взялась?? У меня на этой антенне кстати админка не так давно слетала, писал кучу текста вместо админки в броузере, решилось перезагрузкой антены по ssh. Может этот скрипт и был виноват? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted May 27, 2016 · Report post Сделайте cat /tmp/init.s но по идеи он не нужен. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Yuraner Posted May 27, 2016 · Report post Вообще не ясно кто создал этот вирус, возможно он нужен что бы пользователи отказались от старого оборудования и перешли на новое, в политике убнт это последнее время четко просматривается. Ведь многие операторы уже купили это оборудование и оно работает многие годы, следовательно новое оборудование не покупают, а тут раз и вирус=) А если продолжить Ваши рассуждения, то приходим к тому, что более выгодно это конкурентам, к примеру Микротику.))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SaToR Posted May 27, 2016 · Report post Сделайте cat /tmp/init.s но по идеи он не нужен. Ссори, а что делает эта команда? А то не охота лезть опять на крышу дома, если антенна после этого не проснется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted May 27, 2016 · Report post Ссори, а что делает эта команда? печатает содержимое файла на экран. А то не охота лезть опять на крышу дома, если антенна после этого не проснется. а чтоб не лазить на крышу -- есть PoE с Reset-ом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SaToR Posted May 27, 2016 · Report post Ссори, а что делает эта команда? печатает содержимое файла на экран. А то не охота лезть опять на крышу дома, если антенна после этого не проснется. а чтоб не лазить на крышу -- есть PoE с Reset-ом. По команде по этой, ругается по англ что нет такого файла или папки. А пое с резетом имеется ввиду сброс в дефолт? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NewUse Posted May 27, 2016 · Report post По команде по этой, ругается по англ что нет такого файла или папки. Ну, да, похоже устройство было взломано, но не до конца -- смело можете удалять файл. rm /etc/persistent/rc.poststop save А пое с резетом имеется ввиду сброс в дефолт? Да, блок питания с кнопкой сброса настроек. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SaToR Posted May 27, 2016 (edited) · Report post По команде по этой, ругается по англ что нет такого файла или папки. Ну, да, похоже устройство было взломано, но не до конца -- смело можете удалять файл. rm /etc/persistent/rc.poststop save А пое с резетом имеется ввиду сброс в дефолт? Да, блок питания с кнопкой сброса настроек. Спасибо, помогло, после этого даже без перезагрузки не пишет больше в админке что есть левый скрипт. Это то все есть (reset на блоке), только все равно на чердаке 5 этажа, под домофоном и ключом от чердака, потому лишний раз не по ползаешь. А вы бы не могли подсказать, как для предотвращения таких атак в будущем, закрыть доступ извне к SSH, HTTP, HTTPS ? Как должны выглядеть правила в файрволе антены? Заранее спс! Edited May 27, 2016 by SaToR Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdc Posted May 27, 2016 · Report post переместите на нестандартные порты, это защитит от автоматического заражения Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kosmich7 Posted May 29, 2016 · Report post И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям. Отпишите тем кто вам прислал, даже с заблокированным доступом к downloads.openwrt.org вирус размножается по соседям. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted June 8, 2016 · Report post Коллеги вот и ко мнее пришло горе - просят разобраться. Как я понимаю "вирус" меняет пароль? Как попасть на точку, если не пароль который был устнаовлен ни mother / ***er не подходит. Какая-то информация о заражении есть? Точки в удаленной сети и физического доступа у меня к ним нет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted June 8, 2016 · Report post Кстати кто-то исследовал способ проникновения? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
B_TpaHce Posted June 8, 2016 · Report post sirmax ищите в гугле: "Arbritrary file Upload on AirMax" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
sirmax Posted June 10, 2016 · Report post sirmax ищите в гугле: "Arbritrary file Upload on AirMax" Все найдено все исправлено - спасибо Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...