java -jar CureMalware-0.7.jar
C:\Users\ubnt\Downloads>java -jar CureMalware-0.7.jar
Skynet/PimPamPum/ExploitIM malware removal tool v0.7 for Ubiquiti devices
Copyright 2006-2016, Ubiquiti Networks, Inc. <support@ubnt.com>
This program is proprietary software; you can not redistribute it and/or modify
it without signed agreement with Ubiquiti Networks, Inc.
Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 192.168.1.31
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 3
Enter ssh port [22]:
Enter user name [ubnt]: ubnt
Reuse password <y|n>[y]: y
Processing ubnt@192.168.1.31:22 ...
Password for ubnt@192.168.1.31:
Checking...
CRITICAL: Infected by exploitim
WARNING: User Script(s) is(are) installed:
/etc/persistent/rc.poststart
Review/remove manually!
Done.
Cleaning...
Done.
IT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE!
IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
Preparing Upgrade...
Done.
Uploading firmware: /firmwares/XM.bin ...
Sending... [%100]
Done.
Upgrading...
Current ver: 329220
New version: 329221
No need to fix.
Writing 'u-boot ' to /dev/mtd0(u-boot ) ... [%100]
Writing 'kernel ' to /dev/mtd2(kernel ) ... [%100]
Writing 'rootfs ' to /dev/mtd3(rootfs ) ... [%100]
Done.
Make sure there is no unknown users and ssh keys in system.cfg:
grep -E "users|sshd.auth.key" /tmp/system.cfg
We recommend removing all custom scripts is you are not using them:
rm -fr /etc/persistent/rc.* /etc/persistent/profile
Then
cfgmtd -w -p /etc/; reboot -f
If you also are not using ssh key authentication then it is recommended to clean persistent:
cfgmtd -w; reboot -f
http://www.ubnt.com/downloads/XN-fw-internal/v5.6.
http://www.ubnt.com/downloads/XN-fw-internal/v5.6.
http://www.ubnt.com/downloads/XN-fw-internal/v5.6.
Para aquellos que usan la versión Verizon que elimina interferencia con 780MHz pueden usar esta versión:
http://www.ubnt.com/downloads/XN-fw-internal/v5.6.
Comentarios
Nosotros tenemos aún alrededor de 300 antenas con versiones 5.5.X pero claro, ni de coña accesibles desde la calle ni por el cliente....
No nos hemos visto afectados.... por el momento!
Se que me diran que lo mejor es actualizar los firmware pero la verdad seria muy dispendioso ademas de que tengo habilitado el compliance test en algunos equipos y si hago una actualizacion masiva tendria muchos problemas.
Muchas gracias.
Estos son los scripts que he utilizado para el bloqueo preventivo, tomados de la pagina de MKE Solutions.
Enviamos a una lista “virus ubnt temp” los equipos que intenten acceder a downloads.openwrt.org
/ip firewall filter
add action=add-src-to-address-list address-list="virus ubnt temp" address-list-timeout=15m chain=forward comment="ataque UBNT - MKE" content=downloads.openwrt.org dst-port=80 protocol=tcp src-address-list="!virus ubnt temp"
add action=drop chain=forward comment="ataque UBNT - MKE" src-address-list=OpenWRT
add action=drop chain=forward comment="ataque UBNT - MKE" dst-address-list=OpenWRT
add action=drop chain=forward comment="ataque UBNT - MKE" content=downloads.openwrt.org
Deshabilitar el acceso desde afuera de la red interna a los puertos 21, 22, 80 y 443. Reemplazar “sfp1” por el nombre de la interfaz WAN.
add action=drop chain=forward comment="ataque UBNT - MKE" dst-address-list="!clientes con acceso web permitido" dst-port=21,22,80,443 in-interface=sfp1 protocol=tcp
Crear una lista temporal con las direcciones IP de OpenWRT.
/ip firewall address-list
add address=78.24.191.177 list=OpenWRT
Ademas he creado un script que detecta otras posibles ips de OpenWRT en caso de que cambien.
/system script
add name="Ips OpenWRT" owner=admin policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive source="# Scrip\
t para buscar IPS de OpenWRT\r\
\n:foreach i in=[/ip dns cache all find where (name~\"openwrt\") && (type=\
\"A\") ] do={\r\
\n:local tmpAddress [/ip dns cache get \$i address];\r\
\ndelay delay-time=10ms\r\
\n \r\
\n#prevent script from using all cpu time\r\
\n:if ( [/ip firewall address-list find where address=\$tmpAddress] = \"\"\
) do={\r\
\n:local cacheName [/ip dns cache get \$i name] ;\r\
\n:log info (\"added entry: \$cacheName \$tmpAddress\");\r\
\n/ip firewall address-list add address=\$tmpAddress list=OpenWRT comment=\
\$cacheName;\r\
\n \r\
\n}\r\
\n}"
y lo corro cada minuto con el siguiente schedule
/system scheduler
add interval=1m name="Ips OpenWRT" on-event="Ips OpenWRT" policy=\
ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\
startup
Podéis comprobar si estáis infectos si os sale un texto como el siguiente:
C:\ubnt>java -jar CureMalware-0.7.jar
Skynet/PimPamPum/ExploitIM malware removal tool v0.7 for Ubiquiti devices
Copyright 2006-2016, Ubiquiti Networks, Inc. <support@ubnt.com>
This program is proprietary software; you can not redistribute it and/or modify
it without signed agreement with Ubiquiti Networks, Inc.
Possible formats for IP(s):
IP <192.168.1.1>
IP list <192.168.1.1, 192.168.1.2>
IP range <192.168.1.1-192.168.1.254>
Enter IP(s): 192.168.201
Possible actions:
Check [1]
Check and Cure [2]
Check, Cure and Update [3]
Enter action <1|2|3>: 2
Enter ssh port [22]: 22
Enter user name [ubnt]: ubnt
Reuse password <y|n>[y]: n
Processing ubnt@192.168.1.201 ...
Password for ubnt@192.168.1.201:
Checking...
Not infected by .skynet or pimpampum or exploitim
Done.
Cleaning...
Not infected by .skynet or pimpampum or exploitim
Done.
IT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
C:\ubnt>
Me entero que existe un virus para el sistema airOS
En toda mi red ejecuto un Scripts el cual es de suma importancia para mi
Acabo de probar el Firmware 5.6.5 el cual elimino mi scripts como puedo mantener mi scripts activado en el nuevo Firmware 5.6.5
Esta opción es muy drástica debería ser poco más flexible
- New: Disable custom scripts usage
@UBNT-Salvador Vais a quitarlos tambien en la gama airmax ac (wa/xc)? Vais a volveros a habilitar en un futuro?
@UBNT-Salvador Vais a quitarlos tambien en la gama airmax ac (wa/xc)? Vais a volveros a habilitar en un futuro?
Buenos días hay alguna forma de desactivar el DFS en los
Rocket, con las últimas versiones.
Un Saludo.
Puede descargarlo desde este link
http://community.ubnt.com/t5/airControl-2-Beta/AC2-Beta21-released/m-p/1556312#U1556312
Buenos días hay alguna forma de desactivar el DFS en los
Rocket, con las últimas versiones
Un Saludo.
v5.6.6 (XM)
y Aircontrol Ejecute el Antimalware y me sale esto
https://dl.dropboxusercontent.com/s/2neou6aphlz6osf/XM-00156D8C2389.sup