[SaToR]

Здравствуйте прошил по рекомендации производителя последней прошивкой - 5.6.5, которая типа с определением "левых" скриптов. И на главной антенне у меня высветилось сообщение в админке, что найден какой то скрипт - "poststop". Вопрос, кто нибудь знает что это? Нужен он, или это реально вирус и его надо грохнуть? Кстати как раз у этой антенны, есть проблема что после перезагрузки из админки, она часто не поднимает сеть вай фай и приходится лезть ребутить ее по питанию, может с этим левым скриптом это связано? Заранее спс!

[NewUse]

Если сами ничего не писали -- то, да, вирус, на сколько я помню в 5.6.5 он всё равно не работает(прошивка не определят, определяла она ещё с 5.5 кажись, а не запускает), но, если хотите -- можете грохнуть.

[sokrat]

Здравствуйте прошил по рекомендации производителя последней прошивкой - 5.6.5, которая типа с определением "левых" скриптов. И на главной антенне у меня высветилось сообщение в админке, что найден какой то скрипт - "poststop". Вопрос, кто нибудь знает что это? Нужен он, или это реально вирус и его надо грохнуть? Кстати как раз у этой антенны, есть проблема что после перезагрузки из админки, она часто не поднимает сеть вай фай и приходится лезть ребутить ее по питанию, может с этим левым скриптом это связано? Заранее спс!

 

Здравствуйте, Коллеги и Партнеры

 

Этим письмом хотим Вас предупредить о том, что не так давно появились сообщения о вирусе, который “поражает” оборудование Ubiquiti на “старых” прошивках

На “зараженную” вирусом оборудование можно попасть с логином mother и паролем ***er

Обновление прошивки предотвращает заражение терминалов. Обновление зараженных терминалов вирус не лечит.

На сайте UBNT есть утилита для лечения. Но после нее надо очень быстро обновить прошивку до 5.6.2+ иначе заражение произойдет вновь. Можно обновиться самой утилитой до 5.6.5, но эта версия не поддерживает кастомные скрипты.

И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям.

Зараженное устройство показывает наличие запущенного скрипта (фото) если только вы сами не прописывали собственные скрипты.

Proshivka UBNT.jpg

 

Прошивки в которых точно удалена эта уязвимость

airMAX M:

5.5.11 XM/TI

5.5.10u2 XM

5.6.2+ XM/XW/TI

AirMAX AC:

7.1.3+

ToughSwitch:

1.3.2

airGateway:

1.1.5+

airFiber:

2.2.1+ AF24/AF24HD

3.0.2.1+ AF5x

 

Инструмент для удаления вируса ркомендуемый UBNT

 

Еще один «неофициальный» инструмент устанавливается на смартфон с Adroid. С его помощью можно прлечить устройство и обновить прошивку

 

 

C Уважением, коллектив компании Роутербокс

www.routerbox.ru

Тел. +7(495)970-77-70

[nanaiki]

Коллеги, что-то вы запоздали, уже только ленивый (мы) об этом не написал :)

[sokrat]

запоздали,

 

Это про кого? Мне это пришло скажу так, как спам.

А во вторых я из сети убунтушки выкорчил как

[SaToR]

Коллеги, что-то вы запоздали, уже только ленивый (мы) об этом не написал :)

Лишний раз повторить на форуме думаю не вредно, я бы не сказал, что все об этом знают. Я же свою антенну проверил утилитой от сюда - http://lantorg.com/article/starye-proshivki-airos-ubiquiti-porazhayutsya-virusom .

Написала мне логах следующее по итогам проверки:

Not infected by .skynet or pimpampum or exploitim

WARNING: User Script(s) is(are) installed:

/etc/persistent/rc.poststop

Review/remove manually!

Так что опасных заражений как понял нет, но какой то левый скрипт все же стоит, которого я не ставил. Я одно время решил попробовать утилиту официальную - aircontrol-1.1.01-beta-win32 , может она этот скрипт поставила, ни кто не в курсе?

[[anp/hsw]]

командой

cat /etc/persistent/rc.poststop

можно посмотреть, что там за скрипт

не разберетесь - киньте вывод сюда.

[Saab95]

Вообще не ясно кто создал этот вирус, возможно он нужен что бы пользователи отказались от старого оборудования и перешли на новое, в политике убнт это последнее время четко просматривается. Ведь многие операторы уже купили это оборудование и оно работает многие годы, следовательно новое оборудование не покупают, а тут раз и вирус=)

[SaToR]

' timestamp='1464289799' post='1286416']

командой

cat /etc/persistent/rc.poststop

можно посмотреть, что там за скрипт

не разберетесь - киньте вывод сюда.

Скрипт из одной строчки - /tmp/init.s &

Как понял какая то инициализация при загрузке, только зачем она нужна и откуда она взялась?? У меня на этой антенне кстати админка не так давно слетала, писал кучу текста вместо админки в броузере, решилось перезагрузкой антены по ssh. Может этот скрипт и был виноват?

[NewUse]

Сделайте

cat /tmp/init.s

но по идеи он не нужен.

[Yuraner]

Вообще не ясно кто создал этот вирус, возможно он нужен что бы пользователи отказались от старого оборудования и перешли на новое, в политике убнт это последнее время четко просматривается. Ведь многие операторы уже купили это оборудование и оно работает многие годы, следовательно новое оборудование не покупают, а тут раз и вирус=)

А если продолжить Ваши рассуждения, то приходим к тому, что более выгодно это конкурентам, к примеру Микротику.)))

[SaToR]

Сделайте

cat /tmp/init.s

но по идеи он не нужен.

Ссори, а что делает эта команда? А то не охота лезть опять на крышу дома, если антенна после этого не проснется.

[NewUse]

Ссори, а что делает эта команда?

печатает содержимое файла на экран.

А то не охота лезть опять на крышу дома, если антенна после этого не проснется.

а чтоб не лазить на крышу -- есть PoE с Reset-ом.

[SaToR]

Ссори, а что делает эта команда?

печатает содержимое файла на экран.

А то не охота лезть опять на крышу дома, если антенна после этого не проснется.

а чтоб не лазить на крышу -- есть PoE с Reset-ом.

По команде по этой, ругается по англ что нет такого файла или папки. А пое с резетом имеется ввиду сброс в дефолт?

[NewUse]

По команде по этой, ругается по англ что нет такого файла или папки.

Ну, да, похоже устройство было взломано, но не до конца -- смело можете удалять файл.

rm /etc/persistent/rc.poststop

save

 

А пое с резетом имеется ввиду сброс в дефолт?

Да, блок питания с кнопкой сброса настроек.

[SaToR]

По команде по этой, ругается по англ что нет такого файла или папки.

Ну, да, похоже устройство было взломано, но не до конца -- смело можете удалять файл.

rm /etc/persistent/rc.poststop

save

А пое с резетом имеется ввиду сброс в дефолт?

Да, блок питания с кнопкой сброса настроек.

Спасибо, помогло, после этого даже без перезагрузки не пишет больше в админке что есть левый скрипт.

Это то все есть (reset на блоке), только все равно на чердаке 5 этажа, под домофоном и ключом от чердака, потому лишний раз не по ползаешь.

 

А вы бы не могли подсказать, как для предотвращения таких атак в будущем, закрыть доступ извне к SSH, HTTP, HTTPS ? Как должны выглядеть правила в файрволе антены? Заранее спс!

Изменено 27 мая, 2016 пользователем SaToR

[rdc]

переместите на нестандартные порты, это защитит от автоматического заражения

[kosmich7]

И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям.

Отпишите тем кто вам прислал, даже с заблокированным доступом к downloads.openwrt.org вирус размножается по соседям.

[sirmax]

Коллеги вот и ко мнее пришло горе - просят разобраться.

Как я понимаю "вирус" меняет пароль? Как попасть на точку, если не пароль который был устнаовлен ни mother / ***er не подходит.

 

Какая-то информация о заражении есть?

 

Точки в удаленной сети и физического доступа у меня к ним нет

[sirmax]

Кстати кто-то исследовал способ проникновения?

[B_TpaHce]

sirmax ищите в гугле: "Arbritrary file Upload on AirMax"

[sirmax]

sirmax ищите в гугле: "Arbritrary file Upload on AirMax"

Все найдено все исправлено - спасибо