Vírus
217 views
Skip to first unread message
Doni
Jul 25, 2012, 6:53:58 AM7/25/12
to mtcna_mtc...@googlegroups.com
Bom dia. Alguém sabe como faz pra remover vírus de nano bridge, nano station m5, nano loco e air grid? Acreditamos que nossa rede foi infectada, os nanos páram e só voltam a funcionar se for reiniciado.
Grato
Rosalvo
Gilberto Jr da ConectaNet
Jul 25, 2012, 7:38:52 AM7/25/12
to mtcna_mtc...@googlegroups.com
Bom dia parceiro
nunca ouvi falar nisso.. mas qdo resolver nao deixa de postar pra gente nao
abraços
Gilberto JR
nunca ouvi falar nisso.. mas qdo resolver nao deixa de postar pra gente nao
abraços
Gilberto JR
--
Doni
Jul 26, 2012, 2:17:32 PM7/26/12
to mtcna_mtc...@googlegroups.com
Pessoal descobri qual era o problema. Nossa rede estava infectada por um vírus chamado Skynet. vou postar um tutorial que peguei na internet pra vocês verem...
Como o vírus funciona:
01 - A Falha:
02 - O WORM SkyNet:
01 - A Falha:
Há uma falha no sistema de autenticação do web-server interno (lighthttpd) onde é possível acessar as configurações via web sem nenhuma senha, bastando informar alguns parâmetros na URL. A ubiquiti desenvolveu um "formulário" de administração para facilitar algumas tarefas (upload,download de arquivos por ex.), este formulário torna a falha mais fácil de ser explorada.
02 - O WORM SkyNet:
Uma vez um único rádio infectado, o WORM espalha automaticamente pela rede, ele possui um 'daemon' que de tempos em tempos faz uma varredura em TODA rede. Ao encontrar os endereços vulneráveis, ele consegue enviar uma cópia do WORM para este(s) rádios. Estes novos rádios infectados vão fazer o mesmo procedimento, scanear e infectar os rádios que eles encontrarem.
O rádio infectado passa a não responder os comandos via WEB, ele remove TODAS as páginas, a única forma de acesso ao rádio é via SSH, se habilitado. Para rádios que não estão com SSH habilitado, a única forma de remover é fazendo o procedimento via TFTP.
O WORM tem um outro processo, que é o de ESCUTA de rede, ele coloca todas as interfaces em modo "promiscuo", onde é possível a captura de TODOS os pacotes. Com um FILTRO neste processo, ele consegue capturar dados do usuário, dados de administração da rede (usuário e senha de acesso ao rádio).
De tempos em tempos, o WORM verifica se foram coletados dados, se sim, ele envia estes dados para o IP informado no início do tópico.
Após algum tempo de atividade, o WORM consegue DESLIGAR o rádio com o comando 'halt', assim o rádio passa a não responder mais, sendo necessária intervenção técnica manual (Remover o rádio da tomada e liga-lo novamente).
Ao inicializar, o vírus toma conta do rádio novamente. Após determinado período, o rádio será desligado novamente.
O rádio infectado passa a não responder os comandos via WEB, ele remove TODAS as páginas, a única forma de acesso ao rádio é via SSH, se habilitado. Para rádios que não estão com SSH habilitado, a única forma de remover é fazendo o procedimento via TFTP.
O WORM tem um outro processo, que é o de ESCUTA de rede, ele coloca todas as interfaces em modo "promiscuo", onde é possível a captura de TODOS os pacotes. Com um FILTRO neste processo, ele consegue capturar dados do usuário, dados de administração da rede (usuário e senha de acesso ao rádio).
De tempos em tempos, o WORM verifica se foram coletados dados, se sim, ele envia estes dados para o IP informado no início do tópico.
Após algum tempo de atividade, o WORM consegue DESLIGAR o rádio com o comando 'halt', assim o rádio passa a não responder mais, sendo necessária intervenção técnica manual (Remover o rádio da tomada e liga-lo novamente).
Ao inicializar, o vírus toma conta do rádio novamente. Após determinado período, o rádio será desligado novamente.
Utilizamos o comando abaixo via ssh para remover o vírus e atualizamos os nanos para a versão 5.5 que segundo a ubiquiti a falha de segurança fora corrigida.
"rm /etc/persistent/rc.poststart
rm -rf /etc/persistent/.skynet
cfgmtd -w -p /etc/
reboot"Reply all
Reply to author
Forward
0 new messages