SaToR Опубликовано 25 мая, 2016 · Жалоба Здравствуйте прошил по рекомендации производителя последней прошивкой - 5.6.5, которая типа с определением "левых" скриптов. И на главной антенне у меня высветилось сообщение в админке, что найден какой то скрипт - "poststop". Вопрос, кто нибудь знает что это? Нужен он, или это реально вирус и его надо грохнуть? Кстати как раз у этой антенны, есть проблема что после перезагрузки из админки, она часто не поднимает сеть вай фай и приходится лезть ребутить ее по питанию, может с этим левым скриптом это связано? Заранее спс! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 25 мая, 2016 · Жалоба Если сами ничего не писали -- то, да, вирус, на сколько я помню в 5.6.5 он всё равно не работает(прошивка не определят, определяла она ещё с 5.5 кажись, а не запускает), но, если хотите -- можете грохнуть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sokrat Опубликовано 26 мая, 2016 · Жалоба Здравствуйте прошил по рекомендации производителя последней прошивкой - 5.6.5, которая типа с определением "левых" скриптов. И на главной антенне у меня высветилось сообщение в админке, что найден какой то скрипт - "poststop". Вопрос, кто нибудь знает что это? Нужен он, или это реально вирус и его надо грохнуть? Кстати как раз у этой антенны, есть проблема что после перезагрузки из админки, она часто не поднимает сеть вай фай и приходится лезть ребутить ее по питанию, может с этим левым скриптом это связано? Заранее спс! Здравствуйте, Коллеги и Партнеры Этим письмом хотим Вас предупредить о том, что не так давно появились сообщения о вирусе, который “поражает” оборудование Ubiquiti на “старых” прошивках На “зараженную” вирусом оборудование можно попасть с логином mother и паролем ***er Обновление прошивки предотвращает заражение терминалов. Обновление зараженных терминалов вирус не лечит. На сайте UBNT есть утилита для лечения. Но после нее надо очень быстро обновить прошивку до 5.6.2+ иначе заражение произойдет вновь. Можно обновиться самой утилитой до 5.6.5, но эта версия не поддерживает кастомные скрипты. И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям. Зараженное устройство показывает наличие запущенного скрипта (фото) если только вы сами не прописывали собственные скрипты. Proshivka UBNT.jpg Прошивки в которых точно удалена эта уязвимость airMAX M: 5.5.11 XM/TI 5.5.10u2 XM 5.6.2+ XM/XW/TI AirMAX AC: 7.1.3+ ToughSwitch: 1.3.2 airGateway: 1.1.5+ airFiber: 2.2.1+ AF24/AF24HD 3.0.2.1+ AF5x Инструмент для удаления вируса ркомендуемый UBNT Еще один «неофициальный» инструмент устанавливается на смартфон с Adroid. С его помощью можно прлечить устройство и обновить прошивку C Уважением, коллектив компании Роутербокс www.routerbox.ru Тел. +7(495)970-77-70 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nanaiki Опубликовано 26 мая, 2016 · Жалоба Коллеги, что-то вы запоздали, уже только ленивый (мы) об этом не написал :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sokrat Опубликовано 26 мая, 2016 · Жалоба запоздали, Это про кого? Мне это пришло скажу так, как спам. А во вторых я из сети убунтушки выкорчил как Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SaToR Опубликовано 26 мая, 2016 · Жалоба Коллеги, что-то вы запоздали, уже только ленивый (мы) об этом не написал :) Лишний раз повторить на форуме думаю не вредно, я бы не сказал, что все об этом знают. Я же свою антенну проверил утилитой от сюда - http://lantorg.com/article/starye-proshivki-airos-ubiquiti-porazhayutsya-virusom . Написала мне логах следующее по итогам проверки: Not infected by .skynet or pimpampum or exploitim WARNING: User Script(s) is(are) installed: /etc/persistent/rc.poststop Review/remove manually! Так что опасных заражений как понял нет, но какой то левый скрипт все же стоит, которого я не ставил. Я одно время решил попробовать утилиту официальную - aircontrol-1.1.01-beta-win32 , может она этот скрипт поставила, ни кто не в курсе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[anp/hsw] Опубликовано 26 мая, 2016 · Жалоба командой cat /etc/persistent/rc.poststop можно посмотреть, что там за скрипт не разберетесь - киньте вывод сюда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 мая, 2016 · Жалоба Вообще не ясно кто создал этот вирус, возможно он нужен что бы пользователи отказались от старого оборудования и перешли на новое, в политике убнт это последнее время четко просматривается. Ведь многие операторы уже купили это оборудование и оно работает многие годы, следовательно новое оборудование не покупают, а тут раз и вирус=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SaToR Опубликовано 27 мая, 2016 · Жалоба ' timestamp='1464289799' post='1286416']командой cat /etc/persistent/rc.poststop можно посмотреть, что там за скрипт не разберетесь - киньте вывод сюда. Скрипт из одной строчки - /tmp/init.s & Как понял какая то инициализация при загрузке, только зачем она нужна и откуда она взялась?? У меня на этой антенне кстати админка не так давно слетала, писал кучу текста вместо админки в броузере, решилось перезагрузкой антены по ssh. Может этот скрипт и был виноват? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 27 мая, 2016 · Жалоба Сделайте cat /tmp/init.s но по идеи он не нужен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Yuraner Опубликовано 27 мая, 2016 · Жалоба Вообще не ясно кто создал этот вирус, возможно он нужен что бы пользователи отказались от старого оборудования и перешли на новое, в политике убнт это последнее время четко просматривается. Ведь многие операторы уже купили это оборудование и оно работает многие годы, следовательно новое оборудование не покупают, а тут раз и вирус=) А если продолжить Ваши рассуждения, то приходим к тому, что более выгодно это конкурентам, к примеру Микротику.))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SaToR Опубликовано 27 мая, 2016 · Жалоба Сделайте cat /tmp/init.s но по идеи он не нужен. Ссори, а что делает эта команда? А то не охота лезть опять на крышу дома, если антенна после этого не проснется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 27 мая, 2016 · Жалоба Ссори, а что делает эта команда? печатает содержимое файла на экран. А то не охота лезть опять на крышу дома, если антенна после этого не проснется. а чтоб не лазить на крышу -- есть PoE с Reset-ом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SaToR Опубликовано 27 мая, 2016 · Жалоба Ссори, а что делает эта команда? печатает содержимое файла на экран. А то не охота лезть опять на крышу дома, если антенна после этого не проснется. а чтоб не лазить на крышу -- есть PoE с Reset-ом. По команде по этой, ругается по англ что нет такого файла или папки. А пое с резетом имеется ввиду сброс в дефолт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NewUse Опубликовано 27 мая, 2016 · Жалоба По команде по этой, ругается по англ что нет такого файла или папки. Ну, да, похоже устройство было взломано, но не до конца -- смело можете удалять файл. rm /etc/persistent/rc.poststop save А пое с резетом имеется ввиду сброс в дефолт? Да, блок питания с кнопкой сброса настроек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SaToR Опубликовано 27 мая, 2016 (изменено) · Жалоба По команде по этой, ругается по англ что нет такого файла или папки. Ну, да, похоже устройство было взломано, но не до конца -- смело можете удалять файл. rm /etc/persistent/rc.poststop save А пое с резетом имеется ввиду сброс в дефолт? Да, блок питания с кнопкой сброса настроек. Спасибо, помогло, после этого даже без перезагрузки не пишет больше в админке что есть левый скрипт. Это то все есть (reset на блоке), только все равно на чердаке 5 этажа, под домофоном и ключом от чердака, потому лишний раз не по ползаешь. А вы бы не могли подсказать, как для предотвращения таких атак в будущем, закрыть доступ извне к SSH, HTTP, HTTPS ? Как должны выглядеть правила в файрволе антены? Заранее спс! Изменено 27 мая, 2016 пользователем SaToR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdc Опубликовано 27 мая, 2016 · Жалоба переместите на нестандартные порты, это защитит от автоматического заражения Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kosmich7 Опубликовано 29 мая, 2016 · Жалоба И еще рекомендую запретить доступ из сети на http://downloads.openwrt.org/, вирус оттуда скачивает несколько библиотек, которые ему нужны для распространения себя по соседям. Отпишите тем кто вам прислал, даже с заблокированным доступом к downloads.openwrt.org вирус размножается по соседям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 8 июня, 2016 · Жалоба Коллеги вот и ко мнее пришло горе - просят разобраться. Как я понимаю "вирус" меняет пароль? Как попасть на точку, если не пароль который был устнаовлен ни mother / ***er не подходит. Какая-то информация о заражении есть? Точки в удаленной сети и физического доступа у меня к ним нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 8 июня, 2016 · Жалоба Кстати кто-то исследовал способ проникновения? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
B_TpaHce Опубликовано 8 июня, 2016 · Жалоба sirmax ищите в гугле: "Arbritrary file Upload on AirMax" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 10 июня, 2016 · Жалоба sirmax ищите в гугле: "Arbritrary file Upload on AirMax" Все найдено все исправлено - спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...