Bienvenido a la Comunidad UBNT

Herramienta para remover malware 15-05-2016

2

Comentarios

  • enricm2enricm2 3 Puntos
    Somos un ISP mediano en España y lamentablemente, hemos sufrido estos dias el ataque. Afortunadamente, sólo 400 dispositivos fueron infectados de los mas de 3000 que tenemos instalados. 
    He ejecutado la herramienta de desinfiección (la versión 08) y he actualizado el firmware a la 5.6.5. Hasta ahí todo ok, pero ahora tengo la siguiente duda: El usuario y password del virus es el que se ha quedado en los equipos y me gustaría cambiarlo por un usuario y password nuevos. Evidentemente, con 400 antenas no podemos ir uno por uno, habría que hacerlo mediante un script.
    Alguien conoce o tiene una herramienta que me permita hacer esto de forma segura?? Me he crado un script en linux para intentarlo, pero el problema que me encuentro es que hay que darle el password encriptado y eso depende de cada dispositivo.
    Alguien puede ayudarme??
    tecglo
  • copiexpresscopiexpress 32 Puntos
    editado junio 2016
    Amigo Ptt, tratare de entenderlo aunque no se ingle, me podrias decir solo 2 cosas mas
    1. si se puede recuperar la contraseña para ingresar y limpier el equipo sin resetear?. Tengo como 200 antenas por visitar localmente
    2. En el hilo que me dijiste hay alguno de los comentarios o mensaje que mas me recomiendes estudiar???

    Gracias
  • garrotegarrote 19 Puntos
    Hola si actualizas a la version 5.6.6 autamaticamente se va el virus? o hay que passar el antimalware tamben??
  • donrobertdonrobert 73 Puntos
    No Creo, Algo mas Profundo debe de estar por hay, instale la v5.6.6 y sigue esto,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
    instalo aircontrol-v2.0-beta22.1878.160518.1756-win32 aplico antitodas las cosas malas e Iguanas Ranas, Salta lo Mismo,,,
    ADVERTENCIA Unexpected reboot was detected. Support Info file can be downloaded at by clicking this link.
  • ICOTECICOTEC 12 Puntos

    Estimados,

    Como algunos habrán visto en nuestra comunidad en inglés, https://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940/page/7, estos últimos días ha habido un gran número de reportes de equipos que corren airOS infectados por un virus.  De acuerdo a las muestras de equipos atacados que hemos analizado, estos están siendo afectados por un exploit conocido que fue solucionado el año pasado, como pueden ver en este artículo. Les recordamos que todos los equipos deben SIEMPRE tener el último firmware instalado.

    Este exploit HTTP/HTTPS no requiere autenticación, por lo que tener el firmware desactualizado expone a los equipos. Este es el motivo por el cual es EXTREMADAMENTE importante tener el último firmware en todos sus equipos.

    Los equipos con los siguiente firmware están protegidos contra el ataque y no se ven afectados. De todas formas recomendamos a los usuarios actualizar a la versión 5.6.5. Sin embargo, si el usuario hace uso legítimo de los rc.script, se aconseja quedarse con la versión 5.6.4 que si puede correr estos scripts. Lo que pueden hacer es actualizar a 5.6.5 para quitar el malware y luego bajar a 5.6.4.

    airOS M
    • v5.6.2 o superior
    • v5.5.11 o superior
    • v5.5.10u2 o superior
    airOS AC
    • v7.1.3 o superior
    Toughswitch
    • v1.3.2 o superior
    airGateway
    • v.1.1.5 o superior
    airFiber 
    • 2.2.1 o superior (AF5/AF24/24HD)
    • 3.0.2.1 o superior (AF X)
    Hemos visto unos pocos casos de equipos con firmware 5.6.2 afectados, pero en todos los casos se ha debido a que habían equipos usando firmwares anteriores a 5.6.2 que usaban el mismo usuario y contraseña, por lo que los atacantes pudieron obtener el usuario y contraseña que es común a ambos equipos.

    Existe una herramienta para eliminar el malware, la cual puede ser descargada desde aquí:

    Es importante mencionar que la herramienta requiere JAVA y sólo corre en MacOS X / Linux / Windows. Es importante recordar que al actualizar a la versión 5.6.5 todos los scripts rc.script serán eliminados.

    Cómo usarla
    java -jar CureMalware-0.7.jar

    Ejemplo

    C:\Users\ubnt\Downloads>java -jar CureMalware-0.7.jar
    Skynet/PimPamPum/ExploitIM malware removal tool v0.7 for Ubiquiti devices

    Copyright 2006-2016, Ubiquiti Networks, Inc. <support@ubnt.com>

    This program is proprietary software; you can not redistribute it and/or modify
    it without signed agreement with Ubiquiti Networks, Inc.


    Possible formats for IP(s):
    IP <192.168.1.1>
    IP list <192.168.1.1, 192.168.1.2>
    IP range <192.168.1.1-192.168.1.254>
    Enter IP(s): 192.168.1.31
    Possible actions:
    Check [1]
    Check and Cure [2]
    Check, Cure and Update [3]
    Enter action <1|2|3>: 3
    Enter ssh port [22]:
    Enter user name [ubnt]: ubnt
    Reuse password <y|n>[y]: y
    Processing ubnt@192.168.1.31:22 ...
    Password for ubnt@192.168.1.31:
    Checking...
    CRITICAL: Infected by exploitim
    WARNING: User Script(s) is(are) installed:
    /etc/persistent/rc.poststart
    Review/remove manually!
    Done.
    Cleaning...
    Done.
    IT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE!
    IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
    Preparing Upgrade...
    Done.
    Uploading firmware: /firmwares/XM.bin ...
    Sending... [%100]
    Done.
    Upgrading...
    Current ver: 329220
    New version: 329221
    No need to fix.
    Writing 'u-boot ' to /dev/mtd0(u-boot ) ... [%100]
    Writing 'kernel ' to /dev/mtd2(kernel ) ... [%100]
    Writing 'rootfs ' to /dev/mtd3(rootfs ) ... [%100]
    Done.

    Remover manualmente

    Make sure there is no unknown users and ssh keys in system.cfg:

    grep -E "users|sshd.auth.key" /tmp/system.cfg

    We recommend removing all custom scripts is you are not using them:
    rm -fr /etc/persistent/rc.* /etc/persistent/profile

    Then
    cfgmtd -w -p /etc/; reboot -f

    If you also are not using ssh key authentication then it is recommended to clean persistent:
    cfgmtd -w; reboot -f

    El firmware 5.6.5 incluye las siguiente mejoras
    • Deshabilita el uso de los rc.scripts
    • Habilita syslog por defecto
    • Herramienta integrada para eliminar el malware
    Puede ser descargada desde aquí:

    Pueden encontrar recomendaciones de seguridad aquí: https://help.ubnt.com/hc/en-us/articles/219006928-Securing-airOS
    Complementando estas medidas es simple RECOMENDABLE crear reglas en el firewall de cada equipo que permitan que sólo pueda ingresarse vía SSH/HTTP/HTTPS desde las direcciones IP del NOC del ISP.

    Saludos,

    6aef8444-8532-4953-b749-d911ef
  • ICOTECICOTEC 12 Puntos
    yo tengo un problema con una roket disch ptp ac la señal de recepcion se lokea mucho

  • Ariel-fAriel-f 7 Puntos
    Es seguro correr la herramienta con la opcion desinfectar + actualizar?  no se quedan inservibles al actualizar el firmw?

    gracias
  • ASUCAPASUCAP 5 Puntos
    Buenas tardes, tengo una pequeña inquietud, en algunos equipos he agregado via SSH la opción de país "Compliance Test" para ver mas frecuencias, al realizar el procedimiento para desinfectar los equipos del virus se vuelve a bloquear dicho "país"? He actualizado entrando a cada equipo y tambien de forma remota algunos equipos a la versión 5.6.6 con el modo "compliance test" (activado vía ssh) y no se me ha desabilitado. Agradecería cualquier comentario al respecto.
  • are_telecomare_telecom 1246 Puntos
    ASUCAP dijo:

    Buenas tardes, tengo una pequeña inquietud, en algunos equipos he agregado via SSH la opción de país "Compliance Test" para ver mas frecuencias, al realizar el procedimiento para desinfectar los equipos del virus se vuelve a bloquear dicho "país"? He actualizado entrando a cada equipo y tambien de forma remota algunos equipos a la versión 5.6.6 con el modo "compliance test" (activado vía ssh) y no se me ha desabilitado. Agradecería cualquier comentario al respecto.

    Si lees un poquito más arriba, te informan que si quieres seguir utilizando los scripts con "responsabilidad", debes bajar a la 5.6.4
    Salu2.
  • genial
  • QBSystemsQBSystems 51 Puntos
    Está claro que lo más seguro es que ni las antenas clientes ni la resta de infraestructura tenga acceso a Internet y el cliente tenga acceso a Internet a través de un túnel con un router detrás de la antena. Así podrán actualizar igualmente estando alerta de las vulnerabilidades pero con mucha más tranquilidad ante cualquiera de estos casos.
  • Saludos a todos, e leido sobre sus problemas y lamentablemente no es igual al mio, tengo mas 100 equipos infectados con este virus "cardlist.txt" no e podido encontrar la solución con ninguna herramienta, e probado putty, CureSkynetMalware.jar, y la propia version de ubnt que lanzo para atacar el problema, ya que todas estan destinadas a eleminar a Skynet o motherFock, mi caso es diferente putty me ayuda a borrarlo, luego del reboot vuelve a parecer impidiendo el acceso remoto del equipo, saturandolo impidiendo la navegacion, Agradeceria mucho cualquier ayuda no importa lo pequeño que seaimageimage
  • Aun asi tengo el problema encima, 
    ptt dijo:

    "cardlist.txt" no es "virus"  forma parte del airOS....


    Aun asi, tengo el problema en la red, y no tengo idea como solucionarlo amigo, los reseteo de fabrica, actualizo y problema vuelve. 

  • ptt dijo:

    Aun asi, tengo el problema en la red, y no tengo idea como solucionarlo amigo, los reseteo de fabrica, actualizo y problema vuelve.


    Por favor abre/crea un Nuevo tema (Nueva Discusion), y plantea allí tu "problema" dando la mayor cantidad posible de informacion al respecto.

    O, si lo prefieres, puedes obtener los "support info" de los Radios y contactar al Soporte (en Ingles) vía mail: support@ubnt.com
    ptt dijo:

    Saludos gracias, tomare tu consejo


  • jjpirizjjpiriz 29 Puntos
    Grabe problema en ubiquiti, a ver si a alguien le paso
    No puedo entrar remoto a los equipo pongo user y pass y me vuelve a pedir no da error
    lo que encontre es que el logo de airOS es distinto
    el que dice AirOS en celeste no entra
    el que dice airOS en azul si
    Tenia Versión 5.6.9


    Captura
  • jjpiriz dijo:

    Grabe problema en ubiquiti, a ver si a alguien le paso
    No puedo entrar remoto a los equipo pongo user y pass y me vuelve a pedir no da error
    lo que encontre es que el logo de airOS es distinto
    el que dice AirOS en celeste no entra
    el que dice airOS en azul si

    Tenia Versión 5.6.9


    Captura

    jjpiriz cómo va? A mí me pasó lo mismo, estoy conviviendo con eso actualmente. Uno quiere ingresar y no te dice error, lo que hace es como que la página te carga mal y a veces bien pero es imposible acceder. Tampoco responde ssh, ahí si te dice que la clave no da y que se cierra la conexión. Anteriormente como a muchos en el grupo les ha pasado, fuimos jodidos por el "moth3r" pero con la herramienta lo hemos podido corregir. Desde hace unos días me pasó ésto con algunas antenas y otra cosa que me pasó es que las antenas que tienen https me hace lo mismo pero al darle un reboot manual, ingresar inmediatamente a penas responda el ping y deshabilitando el https, nunca más tuve el inconveniente. Aporto el dato para los que les sirva...si no desactivo el puerto https, la antena se "toma" y no puedo acceder nuevamente, molestando en el desarrollo de la tarea diaria.


  • en efecto hay un nuevo virus, estoy migrando todo a 6RC por que la 5.6.9 tambien esta siendo afectada
  • danielcsdanielcs 4175 Puntos
    @jberen alguna prueba de eso?
  • el problema es que si un equipo de la red queda con la version inferior a 5.6.6 por alguna causa, este virus toma las credenciales y se multiplica a los demas dado que ya tiene las claves., cambiamos a la 6rc y tambien las claves y se detubo el problema.
  • danielcsdanielcs 4175 Puntos
    Habría que indagar más, porque así como lo indicas hasta lo podría hacer una persona común y corriente, y he visto casos similares, de técnicos que le pasan a un cliente el user y pass y después te encontras con desastres. Ojo con la v6-RC que le baja la frecuencia al procesador.-

    Alguno que pueda hacer un "top" en el equipo?
  • danielcsdanielcs 4175 Puntos
    Ahora tengo un cliente que tiene algo parecido y en unos días me trae los equipos, son casi todos los síntomas que se vieron antes, le digo: actualizaste el firmware? No, se usaron como vienen. Regla Nº1: Actualizar el firmware. Así que veremos...
  • por ahora la solución desenchufar equipo por 5 minutos y cuando vuelven a enchufar se puede entrar local y remoto cambiamos passwd y puertos ssh y web ahi no jode mas.
  • danielcsdanielcs 4175 Puntos
    Alguno que pueda hacer un "top" en el equipo por SSH para ver los procesos?
  • danielcsdanielcs 4175 Puntos
    - Fix: Set CPU speed to 400MHz to eliminate out of band emission for Verizon (XM series) 
  • danielcsdanielcs 4175 Puntos
    @ptt esta en el change log, o lei mal?
  • danielcsdanielcs 4175 Puntos
    editado noviembre 2016
    @ptt ; :-S siempre pensé que eran de 600Mhz..  =P~ esperando los nuevos Ubiquiti con Tile de 72 nucleos a 1Ghz..  :D
  • v6-RC??

  • danielcsdanielcs 4175 Puntos
    editado noviembre 2016
    danielcs dijo:

    Ahora tengo un cliente que tiene algo parecido y en unos días me trae los equipos, son casi todos los síntomas que se vieron antes, le digo: actualizaste el firmware? No, se usaron como vienen. Regla Nº1: Actualizar el firmware. Así que veremos...

    Bueno resulta que llego mi cliente con los equipos y le comente que si "no actualizaba el firmware de los equipos, era posible que estos tengan un virus" y se ofendió, me dijo que "como que hay virus para punto a punto?" y se llevo los equipos, no los pude verificar :|

    Así que bueno si sos mi cliente y ves este post! veras que esto es real y no te estoy "cargando" ni "estafando" ni nada, cualquier cosa me contactas por privado.
  • Buen día, siguiendo con el tema resulta que hasta que me tomé uno días
    de vacaciones la primer semana de diciembre seguía con algunos equipos
    en dichas condiciones, no dejándome acceder sin rebotar las
    credenciales. Volví la primer semana de enero y me encuentro con la
    novedad de que esos equipos ahora permitían el acceso con la
    correspondiente clave pero todos ellos se habían actualizado a la última
    versión de firmware sin que nadie lo aceptara. Entonces no es loco
    pensar que pudo haber sido algo de ubiquiti o alguien con una variante
    del mother/fuc para jodernos. Lo que estoy terminando de hacer es
    haciendo modificaciones en los equipos sobre todo los pocos que no
    pudimos tocar cuando estalló el mother. Saludos!
Este hilo ha sido cerrado.