SKFREE :: View topic

SKFREE

SKFREE Pokec - UBNT virus

kotol - 14.05.2016 - 19:20
Post subject: UBNT virus

paraada... este ze nemame nic lepsie na praci len behat a platat deravy soft od UBNT

mate niekto idealne riesenie aby sa to uz nezopakovalo?

pixall - 14.05.2016 - 19:23
Post subject: UBNT virus

podrobnosti?

kotol - 14.05.2016 - 19:55
Post subject:

http://community.ubnt.com/t5/airMAX-Gen ... 940/page/7

na Ubnt forach je panika....

infikovatelne su vsetky verzie vacsiny UBNT zariadeni...

niektory hlasia tisicky zrusenych zariadeni...

midnight_man - 14.05.2016 - 21:25
Post subject:

uz pri prvej bezpecnostnej diere par rokov dozadu bolo jasne ze UBNT nepatri na verejne svetove IP.

Znova sa to potvrdzuje.... Inak to chlapci zase pekne posrali...

Riesenie je jednoduche. Nemat ubnt na svetovych IP a ešte k tomu WEB na porte 80.

pixall - 14.05.2016 - 21:34
Post subject:

Na verejne IP nepatri takmer nic. Vsetko ma diery. Aj Cisco, aj Juniper, aj Windows, nikto nie je neomylny. UBNT je na tom stale s bezpecnostou o tri triedy lepsie nez bezny cinsky router/kamera/dvr/modem/atd, u takychto som uz zazil aj nacuvajuce ftp alebo telnet s otvorenym celym systemom, a heslom root/root ktore sa ani neda zmenit...

kotol - 14.05.2016 - 21:42
Post subject:

problem je ze sa to siri po lanke aj ked nemas zariadenia na verejnych IP

midnight_man - 14.05.2016 - 22:47
Post subject:

kotol wrote: ›problem je ze sa to siri po lanke aj ked nemas zariadenia na verejnych IP

ano ale prvotny virus musis chytit cez svetove IP.

dalej musis mat http porty ine ako 80

https://hackerone.com/reports/73480

kotol - 14.05.2016 - 22:50
Post subject:

nepomohlo... leze to aj cez ssh port

pixall - 15.05.2016 - 11:25
Post subject:

kotol wrote: ›nepomohlo... leze to aj cez ssh port

firmwary starsie ako tieto:
5.5.11 XM/TI
5.5.10u2 XW
5.6.2 XW/XM/TI
maju zdokumentovanu bezpecnosntu dieru (dlhsie ako pol roka) a vo vlastnom zaujme si ich treba ihned upgradovat prinajmensom na vyssieuvedene verzie. na deravych verziach staci na ziskanie plneho pristupu do zariadenia pristup k jeho webu a znalost spravneho postupu.

na uvedenych a vyssich verziach sa ubiquiti developerom nepodarilo zreprodukovat moznost nakazenia zariadenia wormom.

worm instaluje do zariadenia ssh kluc. ak ho neodstranis, pochopitelne ze zariadenie ostane dalej napadnutelne cez ssh.
http://community.ubnt.com/t5/airMAX-Gen ... 481#M55044
https://github.com/diegocanton/remove_ubnt_mf

midnight_man - 15.05.2016 - 13:35
Post subject:

pixall wrote: ›

kotol wrote: ›nepomohlo... leze to aj cez ssh port

Presne tak, ...preto to aj nadalej lezie cez SSH port. Virus uz ma ulozene kluce v zariadeni a teda nepotrebuje nadalej WEB pristup.

Prvotny atak ale ide cez WEB port a metodou php2 "post" vyuziva bezpecnostnu dieru v daka ktorej ulozi SSH kluce do zariadenia, tym ziska SSH pristup....dalej to poznate. (inak je to riadny fail!) asi taky isty ako skynet par rokov dozadu!

Akurat som nedopatral akym cinom sa to siri dalej? nevyskumali ste to niekto? Pouziva to UBNT discovery alebo len pinga ip v rovnakom subnete?

kotol - 15.05.2016 - 13:38
Post subject:

zatial pomaha novy firmware a firewall komplet na INPUT

na forach sa stazuju viaceri na infekcie najnovsich firmwareov...

midnight_man - 15.05.2016 - 13:43
Post subject:

jezisi jasne ze sa stazuju pretoze updatom noveho FW sa virus NEODSTRANI!!!!!! Novy FW len zabranuje vzniku infekcie.

virus je nutne odstranit podla pokynov na fore! az potom robit upgrade.

rado3105 - 15.05.2016 - 15:42
Post subject:

Schytal to niekto? Udajne to taha veci z openwrt.org (treba ip adresy evidentne blokovat).

Kotol ako myslis treba firewall na input? - kazde ubnt zariadenie blokovat resp. upravit na INPUT? myslim ze tu by stacilo na brane na forwarde blokovat openwrt adresy....resp. cez staticke dns openwrt presmerovat....

http://lokalnyisp.net/viewtopic.php?f=3 ... 3cb55#p937

kotol - 15.05.2016 - 16:23
Post subject:

nastavujem tam proste akekolvek spojenie ktore ide na ubnt zariadenie okrem opravnenej mgmt siete dropne

forward trafic ostava bezo zmeny

midnight_man - 15.05.2016 - 21:51
Post subject:

ano dajte si na GW pravidlo ktore blokne openwrt.org a zaroven hodi IP do address listu aby ste vedeli kde je problem Wink

tulo - 16.05.2016 - 12:27
Post subject:

pre airgrid je uz dostupny firmware 5.6.5 ktory riesi tento problem, predpokladam ze ostatne budu nasledovat kazdu chvilu. Ten 5.6.5 bol pridany dnes na support stranku ubnt

kemper - 16.05.2016 - 12:44
Post subject:

Dostane sa to tam aj ked mam web na nestandardnom porte a SSH vypnute ?

dik

Jardo - 16.05.2016 - 14:30
Post subject:

Uz je FW dostupny pre vsetky 5.6.5 XM

AG-HP-2G16, AG-HP-2G20, AG-HP-5G23, AG-HP-5G27, AirGrid M, AirGrid M2, AirGrid M5, AR, AR-HP, BM2HP, BM2-Ti, BM5HP, BM5-Ti, LiteStation M5, locoM2, locoM5, locoM9, M2, M3, M365, M5, M900, NB-2G18, NB-5G22, NB-5G25, NBM3, NBM365, NBM9, NSM2, NSM3, NSM365, NSM5, PBM10, PBM3, PBM365, PBM5, PICOM2HP, Power AP N

rado3105 - 16.05.2016 - 15:02
Post subject:

avsak pozor pri tom firmwari prichadzate o moznost spustania custom skriptov....

a ak vam to zresetovalo zariadenie tu je postup ako ho obnovit na dialku:

We are going AP by AP, changing AP to 'ubnt' ssid so stations reassociate.

We add 192.168.1.1 subnet to the router with a route to it, so we can talk to each radio.

Then we add a MAC acl allow list to the AP so only one client associates.

We then log into 192.168.1.20 via web browser, upload saved config file (thanks AC2)

When all stations are done, we then switch AP back to original SSID.

kemper - 17.05.2016 - 08:10
Post subject:

rado3105 wrote: ›avsak pozor pri tom firmwari prichadzate o moznost spustania custom skriptov....

a ak vam to zresetovalo zariadenie tu je postup ako ho obnovit na dialku:

We are going AP by AP, changing AP to 'ubnt' ssid so stations reassociate.

We add 192.168.1.1 subnet to the router with a route to it, so we can talk to each radio.

Then we add a MAC acl allow list to the AP so only one client associates.

We then log into 192.168.1.20 via web browser, upload saved config file (thanks AC2)

When all stations are done, we then switch AP back to original SSID.

Scripty zdasa bezia normalne , akurat pribudol prehlad scriptov , ktore su na zariadeni a je tam moznost ich zmazat .

bakula - 17.05.2016 - 18:58
Post subject:

http://dsl.sk/article.php?article=18389

rado3105 - 17.05.2016 - 20:06
Post subject:

Takze toto evidentne pekne zahra do karat Mikrotiku na europskom trhu. Som rad, ze sme v minulosti zvolili taktiku pol na pol. Skoda, ze nie je dalsi vyrobca.
Doteraz nechapem, preco ubnt vyvija veci ako ten java scan tool, kde treba po rozsahoch pracne pridavat ip...tvra to nesmierne dlho, dni...pritom stacilo by len uorbit nejaku utilitu v Aircontrol2. Ip rozsahy tam su, teda ip...a uz by ich urcita utilita len preskenovala....avsak na tuto poziadavku nereaguju....

Avsak co sa tymto dosiahne je, ze sa bude dodrziavat tvrda europska legislativa a DFS - ktore UBNT uz dlhodobo pretlaca. Je zvlastne, ze Mikrotik nie...nevie to niekto vysvetlit?

midnight_man - 17.05.2016 - 22:26
Post subject:

Asi by sa takých èervov zišlo viac a èastejšie. Možno by sa potom niektorí nauèili èo to o bezpeènosti. Keï vidím tie ubnt login.cgi na verejkach, otvorené snmp kde vidno až do "kuchyne"....
Pixall tu spominal, všetko má diery aj cisco..samozrejme. Ale nemusíte ma pri tom otvorené dvere s nápisom "Vitajte"

Je zaujimave ze mnoho ISP o tomto probleme vie tak akurat z fora èo sa doèitali Smile

inak historia tej apky z ubnt fora ...postol to nejaky isp na forum najpr pre android...ubnt to prebralo, vylepsilo a potom spravili 5.6.5 FW.

aircontroll to nerieši pretoze nie vsetci ho maju.

UBNT ma zasadne medzery v PHP, kedze aj skynet roky dozadu bola diera ako svet v PHP... clovek ktory objavil tuto dieru pred 3/4 rokom dostal 18.000 dolarov od UBNT a vo svojim vyjadreni tvrdil ze je to skolacka chyba v PHP.

rado3105 - 17.05.2016 - 22:52
Post subject:

UBNT ma problem, ze je pri kupe otvorene. Navyse chyba tam jednoducha moznost obmedzenia na vnutornych rozsah - ci uz pre SNMP resp. komplet vsetky sluzby (management, ssh...). Nehovoriac o tej chybe, ktora bola mesiace znama, pisali o tom na root.cz a oni si pospavali....zvlastne mi pride ich spravanie...ako by to naschval....ale v USA kde je ciel vsetko spehovat je to mozne a je mozne, ze im to aj preplatia z federalnych penazi (vid. NSA program)...

rado3105 - 18.05.2016 - 17:47
Post subject:

https://community.ubnt.com/t5/airMAX-Ge ... 968#M55993

Toto je myslim cesta akou ist. Obmedzit vsetko na inpute, povolit len nestandardne http len na vasich lokalnych, resp. urcenych ip rozsahov. A netreba riesit ziadne
A viktor kym preskenujes tou javou aplikaciou vsetky zariadenia a nadefinujes rozsahy aircontrol si nainstaluje a odinstalujes 1000x.

backslash_ - 19.05.2016 - 07:28
Post subject:

Mam na predaj riesenie zalozene na Pythone, ktore prejde siet, objavi UBNT zariadenia a vypluje do textaku IP tych, ktorym treba update. Nasledne dalsi Python skript urobi cistky a update. Subnet /16 urobi discovery tak za 30 minut. Nakodene za den, funguje na svoju dobu vzniku celkom dobre. Zaujemcovia piste na lukas.stana@it-admin.sk.

rado3105 - 19.05.2016 - 20:43
Post subject:

https://trzepak.pl/viewtopic.php?f=26&t=51655

pedro4444 - 20.05.2016 - 11:14
Post subject:

http://jihlava.idnes.cz/po-utocich-hack ... zpravy_evs

rado3105 - 20.05.2016 - 12:37
Post subject:

Tak chlapci z ubiquity vypoculi moje prozby a pridali utilitu na skenovanie malwaru do AC2:)
https://community.ubnt.com/t5/airContro ... 7#U1568157

Rychlost skenovania: 100 zariadeni za 1 minutu.

instalacia beta22 v linuxe:
http://lokalnyisp.net/viewtopic.php?f=3 ... c36ec#p956

bakula - 25.05.2016 - 04:36
Post subject:

Je niekomu zname naco je v UBNT zariadeniach v /etc/passwd user mcuser, ked pod nim nebezi ziadny proces? Alebo nas v buducnosti cakaju dalsie zadne dvierka do ubnt, tentokrat cez ssh?

XW.v5.6.5# cat /etc/passwd
admin:$1$46esboAe$NKghkTljz8sa3Ba5qgic91:0:0:Administrator:/etc/persistent:/bin/sh
mcuser:!VvDE8C6TB1:0:0::/etc/persistent/mcuser:/bin/sh

XW.v5.6.5# ps -w
PID USER VSZ STAT COMMAND
1 admin 1984 S init
2 admin 0 SW [kthreadd]
3 admin 0 SW [ksoftirqd/0]
4 admin 0 SW [events/0]
5 admin 0 SW [khelper]
8 admin 0 SW [async/mgr]
42 admin 0 SW [sync_supers]
44 admin 0 SW [bdi-default]
46 admin 0 SW [kblockd/0]
66 admin 0 SW [kswapd0]
67 admin 0 SW [aio/0]
68 admin 0 SW [crypto/0]
150 admin 0 SW [mtdblockd]
256 admin 1976 S /bin/watchdog -t 1 /dev/watchdog
397 admin 1144 S /sbin/hotplug2 --persistent --set-rules-file /usr/etc/hotplug2.rules
665 admin 0 SW [ubnt_poll_sync_]
666 admin 0 SW [ubnt_poll_sync_]
797 admin 7756 S /bin/infctld -m -n -d
798 admin 2028 S /bin/dropbear -F -r /etc/persistent/dropbear_dss_host_key -r /etc/persistent/dropbear_rsa_host_key -p 22
799 admin 2308 S /bin/mcad
800 admin 1984 S init
983 admin 2072 S /bin/dropbear -F -r /etc/persistent/dropbear_dss_host_key -r /etc/persistent/dropbear_rsa_host_key -p 22
984 admin 1988 S -sh
986 admin 1984 R ps -w

JOFO - 25.05.2016 - 09:52
Post subject:

pokial dobre viem, tak mcuser je uzivatel pre airControl resp pre airCRM..

midnight_man - 25.05.2016 - 14:13
Post subject:

SSH je velmi zradne chlapi.

Zavret, zamknut..2x firewall a hotovo

Uvedomte si ze vo svete existuje mnoho strojov ktore maju za ulohu skenovat verejne rozsahy IP, hladat volne porty, skusaju hesla, rozne kombinacie, vyuzivaju zname aj nezname bezpecnostne diery.

Proste si treba davat pozor.

Aha jeden zartik s par riadkami skriptov a kolko srandy to narobilo.

bakula - 25.05.2016 - 16:00
Post subject:

JOFO wrote: ›pokial dobre viem, tak mcuser je uzivatel pre airControl resp pre airCRM..

airCRM nemam a do airControl musis zadat meno a heslo pri prihlasovani zariadenia.

rado3105 - 25.05.2016 - 20:20
Post subject:

ano mcuser je uzivatel aircontrolu...

uz som tu davnejsie riesil ako na jednotlivych zariadeniach ubnt obmedzit input len na povolene rozsahy...vie niekto?

lukic - 30.05.2016 - 14:42
Post subject:

rado3105 wrote: ›ano mcuser je uzivatel aircontrolu...

uz som tu davnejsie riesil ako na jednotlivych zariadeniach ubnt obmedzit input len na povolene rozsahy...vie niekto?

v.5.6.6 zvnutra (LAN)
v.5.6.4 a starsi v spolupraci s /etc/persistent/rc.poststart a iptables..

rado3105 - 30.05.2016 - 17:44
Post subject:

Lukic je to mozne hromadne pridavat cez aircontrol to pravidlo cez iptables?

Stale vaham ci prejst alebo neprejst na tie nove post 5.6.5...nemate problemy s DFS?

pedro4444 - 30.05.2016 - 21:14
Post subject:

rado3105 wrote: ›Lukic je to mozne hromadne pridavat cez aircontrol to pravidlo cez iptables?

Stale vaham ci prejst alebo neprejst na tie nove post 5.6.5...nemate problemy s DFS?

https://ispforum.cz/viewtopic.php?f=48& ... p;start=15

cesi maju par nespravnych skusenosti...

misohero - 04.06.2016 - 21:39
Post subject:

prave mame novu variantu viru , neda sa uz ani cez ssh pripojit , existuje nejake riesenie na dialku ?

user - 05.06.2016 - 18:20
Post subject:

Mne sa teraz spustilo tiez nieco. Meni to hesla na zariadeniach. nejde ssh ani web. to bude noc.

rado3105 - 05.06.2016 - 19:08
Post subject:

- mali ste to preskenovane aircontrolom?
- ake firmwari ste tam mali?

deadbiker - 05.06.2016 - 20:39
Post subject:

misohero wrote: ›prave mame novu variantu viru , neda sa uz ani cez ssh pripojit , existuje nejake riesenie na dialku ?

Tak skus https://www.rapid7.com/db/modules/exploit/linux/ssh/ubiquiti_airos_file_upload

bob - 05.06.2016 - 20:48
Post subject:

preco mate radia na verejnych ip ??

user - 05.06.2016 - 20:53
Post subject:

Problem je v tom ze radia nemam na vrejných IP. prva vlna ma obisla uplne. ani jedno radio down. treaz ide jedno za druhym. parada

midnight_man - 05.06.2016 - 21:07
Post subject:

zrejme ti nejaky dobrak upravil virus na tvoju siet a sup ho tam Smile

misohero - 05.06.2016 - 21:10
Post subject:

vsetky radia maju sukromne ip ,staci aby sa jedno z nich chytilo a cely subnet je v ...

deadbiker - 05.06.2016 - 21:13
Post subject:

Tak viem si predstavit ze by to preliezlo aj cez nat v pohode.

misohero - 05.06.2016 - 21:15
Post subject:

vo firewalli to uz blokujem a vidim tam divne spojenia z vonku kde port na strane sukromnej ip je 80, neviem ci je zvonka nadviazany alebo zvnutra

midnight_man - 05.06.2016 - 22:55
Post subject:

dajte si pravidlo na drop IP: 78.24.191.177

a odlogujte si IP ktore sa pokusaju pripojit na tuto IP.

tie zariadenia su infikovne Wink

user - 05.06.2016 - 23:29
Post subject:

To pravidlo som mal na firewale aj tak sa to nejako dostalo do siete. dufam za zatial nevypne zariadenia a len odmietne pristup. stihol som hlavne radia prehodit ale asi 10 to odnieslo. dokonca ked som sa do jedneho prihlasil a nahraval som novy firware tak ma to vykoplo a zmenilo pristupove hesla. takze bolo to v tom zariadeni akurat cerstvo. Budete skusat niekto to prelomit a nejako odstranit alebo bude len rucna práca z restartovaním ?
Dik za info.

user - 05.06.2016 - 23:39
Post subject:

Tak pozeram na trafic a vidim ze sa hodne zmensil. Takze virus odstavuje komunikáciu.

Jardo - 06.06.2016 - 08:16
Post subject:

A robi vam to aj na zariadeniach s 5.6.5 a 5.6.6 ?

cobain - 06.06.2016 - 21:23
Post subject:

Ahojte, tak ako to je postihuje to vsetky UBNT zariadenia alebo len radia?

user - 07.06.2016 - 06:30
Post subject:

Viem ze je to nevhodne ale ak ma niekto hesla do poslednej vlny alebo nejaky postup ako to nadialku opravit mozete to sem hodit ?
Dakujem vopred Gaspo.

deadbiker - 07.06.2016 - 08:05
Post subject:

user wrote: ›Viem ze je to nevhodne ale ak ma niekto hesla do poslednej vlny alebo nejaky postup ako to nadialku opravit mozete to sem hodit ?
Dakujem vopred Gaspo.

Ten exploit si skusal co som posielal link???

bob - 07.06.2016 - 14:01
Post subject: UBNT virus

pokial funguje SSH

killall mother
killall search
killall infect
rm /etc/persistent/rc.poststart
rm /etc/persistent/mf.tar
rm -R /etc/persistent/.mf/
ln -s /dev/null /etc/persistent/.mf
cfgmtd -w -p /etc/
reboot

deadbiker - 07.06.2016 - 14:12
Post subject: UBNT virus

bob wrote: ›pokial funguje SSH
.
.
.
reboot

Ved vravi ze sa tam nevie dostat.

bob - 07.06.2016 - 17:16
Post subject: UBNT virus

bob wrote: ›pokial funguje SSH

killall mother
killall search
killall infect
rm /etc/persistent/rc.poststart
rm /etc/persistent/mf.tar
rm -R /etc/persistent/.mf/
ln -s /dev/null /etc/persistent/.mf
cfgmtd -w -p /etc/
reboot

2 vlna meno/heslo:

moth3/fuck.3r

neos - 07.06.2016 - 17:20
Post subject: 5.6.4

Ked mam dajme tomu 5.6.4 a nemam virus, naco tam davat 5.6.5 a vyssie?

bob - 07.06.2016 - 17:35
Post subject: 5.6.4

neos wrote: ›Ked mam dajme tomu 5.6.4 a nemam virus, naco tam davat 5.6.5 a vyssie?

aby si ho nedostal Smile

neos - 07.06.2016 - 17:42
Post subject: 5.6.4

bob wrote: ›

neos wrote: ›Ked mam dajme tomu 5.6.4 a nemam virus, naco tam davat 5.6.5 a vyssie?

aby si ho nedostal Smile

Tak ked od 5.6.2 vyssie nemaju dieru, ktorou sa da prihlasit bez znalosti hesla, tak ako ho mozem dostat?

misohero - 07.06.2016 - 18:27
Post subject:

potvrdzujem ze funguje nove heslo pre variantu 2 vid
https://community.ubnt.com/t5/airMAX-Ge ... -p/1584719

Quote: › moth3
f u c k e r

moth3r
f u c k e r

moth3r
f u c k .3 r

No spaces on any of the passwords

user - 07.06.2016 - 23:16
Post subject:

Nemal som cas odpovedat. Mne fungovalo az to posledne heslo. Vsetky jednotky skontrolovane a updatnute. robil som to rucne bez explozitu. za 10 hodin 367 ks. Dik za odpovede. Gaspo