- Регистрация
- 15 Апр 2015
- Сообщения
- 2.157
- Репутация
- 864
- Реакции
- 4.107
Правда и вымысел о вирусе на Ubiquiti
АВТОР: VALERIJ_BUREC
Многие слышали о вирусе на Ubiquiti. Но, как известно, слухи часто искажают информацию, а использование некоторых пользовательских прошивок может навредить вашему оборудованию больше, чем сам вирус. В данной статье мы предоставим полную информацию из официальных источников, чтобы посетители сайта ASP24 имели возможность, воспользовавшись проверенными данными, надёжно защитить своё оборудование.
AirOS Security Exploit – Updated Firmware
Из сообщения на форуме от 12-19-2011:
В AirOS есть уязвимость безопасности.
POST № 1
Привет всем!
Сегодня мы обнаружили уязвимость, которая может предоставить удаленным пользователям административный доступ к оборудованию Ubiquiti с AirOS v3/4 и AirOS v5, без выполнения проверки подлинности.
Мы быстро исправили эту ошибку и выпустили обновление микропрограммы с заплаткой этой уязвимости. Вы можете найти обновление микропрограммы здесь: https://ubnt.com/support/Downloads
Предупреждение: Пользовательские прошивки, предоставляемые другими пользователями форума, используйте на свой страх и риск.
Уязвимые версии:
Также мы разрабатываем утилиту для удаления червя. Для получения дополнительной информации, смотрите следующие несколько постов форума.
POST № 2
Привет всем!
Существует два способа:
Если червь уже присутствует, он выполнит следующие действия:
Мы работаем над патчем, который будет удалять червя, но вот как можно сделать это вручную:
POST № 3
Мы разработали утилиту для удаления / исправления для всех устройств, которые могут быть заражены червем. Это позволит удалить все вхождения червя, и, при желании, автоматически обновить прошивку.
Утилиту Вы можете найти здесь:
https://dl.ubnt.com/XN-fw-internal/tools/CureSkynetMalware-0.4.jar
MD5 (CureSkynetMalware-0.4.jar) = 9310926b691b7f95e0ba2c973a5d09c2
Внимание!: Утилиты удаления Skynet, предоставляемые другими пользователями (посредством электронной почты, загруженные с ubnt.com неофициальных сайтов и т.д.) используйте на свой страх и риск, и будьте в курсе, что это может быть новый вирус.
Вот пример использования:
Цитата:
$ java -jar CureSkynetMalware.jar
Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 10.100.10.2-10.100.10.3
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 2
Enter ssh port [22]: 22
Enter user name: ubnt
Reuse password <y|n>: y
Processing ubnt@10.100.10.2:22 …
Password for ubnt@10.100.10.2:
Checking…
Утилита будет работать как для V4 так и для V5 прошивок. Если у вас возникли вопросы, пожалуйста, сообщите нам об этом.
EDIT – обновлено до версии v0.4. Иногда, после исправления и обновления устройства, оно становилось недоступно.
POST № 4
Если в устройствах уже есть червь, вы можете исправить их массово через AirControl:
https://ubnt.com/wiki/AirControl#Execute.2FSchedule_Device_Operations
Перевод и комментарии Валерия Бурца.
НА ЛЮНЕКС ВИРУСОВ НЕТ - да вот пожалуйста
Борьба с 'вирусами' на Ubiquiti устройствах
Введение
В процессе..
Лечение
Заход на устройство
#
moth3/fucker
moth3r/fucker
moth3r/fuck.3r
Остановка всех сервисов вируса
killall -9 mother sprd infect curl
Очистка /etc/persistent/ и немедленная перезагрузка устройства
cfgmtd -w; reboot -f
Внешние ссылки
АВТОР: VALERIJ_BUREC
Многие слышали о вирусе на Ubiquiti. Но, как известно, слухи часто искажают информацию, а использование некоторых пользовательских прошивок может навредить вашему оборудованию больше, чем сам вирус. В данной статье мы предоставим полную информацию из официальных источников, чтобы посетители сайта ASP24 имели возможность, воспользовавшись проверенными данными, надёжно защитить своё оборудование.
AirOS Security Exploit – Updated Firmware
Из сообщения на форуме от 12-19-2011:
В AirOS есть уязвимость безопасности.
POST № 1
Привет всем!
Сегодня мы обнаружили уязвимость, которая может предоставить удаленным пользователям административный доступ к оборудованию Ubiquiti с AirOS v3/4 и AirOS v5, без выполнения проверки подлинности.
Мы быстро исправили эту ошибку и выпустили обновление микропрограммы с заплаткой этой уязвимости. Вы можете найти обновление микропрограммы здесь: https://ubnt.com/support/Downloads
Предупреждение: Пользовательские прошивки, предоставляемые другими пользователями форума, используйте на свой страх и риск.
Уязвимые версии:
- 802.11 Продукция – AirOS v3.6.1/v4.0 (предыдущие версии не уязвимы)
- AirMax продукция – AirOS v5.x (все версии)
- v4.0.1 – 802.11 продукции для ISP
- V5.3.5 – AirMax продукции для ISP
- V5.4.5 – AirSync прошивки.
Также мы разрабатываем утилиту для удаления червя. Для получения дополнительной информации, смотрите следующие несколько постов форума.
POST № 2
Привет всем!
Существует два способа:
- Уязвимость https-сервера, которая позволяет пользователям обходить проверку подлинности и выполнять команды.
- Червь, который использует пункт № 1 для своего распространения.
Если червь уже присутствует, он выполнит следующие действия:
- Переименует admin.cgi в adm.cgi (можно проверить веб-браузером после входа в систему)
- Создаст сценарий запуска в /etc/persistent (можете проверить, выполнив команду:
Мы работаем над патчем, который будет удалять червя, но вот как можно сделать это вручную:
- подключаемся по SSH к устройству
- cd /etc/persistent
- rm rc.poststart
- rm -rf .skynet
- cfgmtd -w -p /etc/
- reboot
POST № 3
Мы разработали утилиту для удаления / исправления для всех устройств, которые могут быть заражены червем. Это позволит удалить все вхождения червя, и, при желании, автоматически обновить прошивку.
Утилиту Вы можете найти здесь:
https://dl.ubnt.com/XN-fw-internal/tools/CureSkynetMalware-0.4.jar
MD5 (CureSkynetMalware-0.4.jar) = 9310926b691b7f95e0ba2c973a5d09c2
Внимание!: Утилиты удаления Skynet, предоставляемые другими пользователями (посредством электронной почты, загруженные с ubnt.com неофициальных сайтов и т.д.) используйте на свой страх и риск, и будьте в курсе, что это может быть новый вирус.
Вот пример использования:
Цитата:
$ java -jar CureSkynetMalware.jar
Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 10.100.10.2-10.100.10.3
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 2
Enter ssh port [22]: 22
Enter user name: ubnt
Reuse password <y|n>: y
Processing ubnt@10.100.10.2:22 …
Password for ubnt@10.100.10.2:
Checking…
Утилита будет работать как для V4 так и для V5 прошивок. Если у вас возникли вопросы, пожалуйста, сообщите нам об этом.
EDIT – обновлено до версии v0.4. Иногда, после исправления и обновления устройства, оно становилось недоступно.
POST № 4
Если в устройствах уже есть червь, вы можете исправить их массово через AirControl:
https://ubnt.com/wiki/AirControl#Execute.2FSchedule_Device_Operations
- В AirControl выбрать сразу несколько устройств
- Нажатием на правую кнопку мыши выбрать пункт Tasks/Operations
- Выберите пункт «Execute Command»
- В поле команды, введите:
rm /etc/persistent/rc.poststart; rm -rf /etc/persistent/.skynet; cfgmtd -w -p /etc/; reboot;
- Нажмите Done
Перевод и комментарии Валерия Бурца.
НА ЛЮНЕКС ВИРУСОВ НЕТ - да вот пожалуйста
Борьба с 'вирусами' на Ubiquiti устройствах
Введение
В процессе..
Лечение
Заход на устройство
#
moth3/fucker
moth3r/fucker
moth3r/fuck.3r
Остановка всех сервисов вируса
killall -9 mother sprd infect curl
Очистка /etc/persistent/ и немедленная перезагрузка устройства
cfgmtd -w; reboot -f
Внешние ссылки
- Поймали вирус на UBNT? Тогда вам сюда
- Вирус на устройствах Ubiquiti Networks
- ВАЖНО! Вирус атакует устройства UBIQUITI
- Старые прошивки AirOS Ubiquiti поражаются вирусом
- Важная информация о вирусной атаке на оборудование Ubiquiti
- Ubiquiti Вирус Skynet. Решение проблемы.
- Правда и вымысел о вирусе на Ubiquiti
- Информация о Skynet vs ubnt
- -
- Malware Removal Tool 05-15-2016
- Virus attack – URGENT @UBNT
- Re: Virus atack v2
- UBNT vírus útok