{"id":3799,"date":"2016-05-17T14:57:03","date_gmt":"2016-05-17T16:57:03","guid":{"rendered":"http:\/\/www.entelco.com.br\/blog\/?p=3799"},"modified":"2016-05-18T18:53:57","modified_gmt":"2016-05-18T20:53:57","slug":"virus-em-radios-ubiquiti-como-remover-importante","status":"publish","type":"post","link":"http:\/\/www.entelco.com.br\/blog\/virus-em-radios-ubiquiti-como-remover-importante\/","title":{"rendered":"V\u00edrus em R\u00e1dios Ubiquiti – Como Remover ? IMPORTANTE"},"content":{"rendered":"

O que \u00e9 preciso saber sobre o\u00a0V\u00edrus em R\u00e1dios Ubiquiti<\/h2>\n

Nos \u00faltimos dias, est\u00e3o ocorrendo\u00a0diversas atividades maliciosas em r\u00e1dios UBIQUITI AirMAX<\/a>. Na maioria dos casos, os dispositivos s\u00e3o “resetados” aos padr\u00f5es de f\u00e1brica. Em outros casos, os dispositivos ficam operacionais, mas inacess\u00edveis. A a\u00e7\u00e3o \u00e9 um Expoit malicioso ou Malware.
\nSe voc\u00ea possui um R\u00e1dio com vers\u00e3o anteriores \u00e1s vers\u00f5es da tabela abaixo, ent\u00e3o \u00e9 altamente recomendado fazer o procedimento de remo\u00e7\u00e3o e de atualiza\u00e7\u00e3o para a vers\u00e3o mais recente de firmware.<\/p>\n

\"V\u00edrus

V\u00edrus em R\u00e1dio Ubiquiti<\/p><\/div>\n

As corre\u00e7\u00f5es de impedimento da a\u00e7\u00e3o deste script malicioso, j\u00e1 fora corrigida meses atr\u00e1s, no entanto, algumas pessoas que utilizam vers\u00f5es mais antigas, est\u00e3o sofrendo este risco.<\/p>\n

A a\u00e7\u00e3o maliciosa roda um script dentro dos r\u00e1dios airMAX, executando a rotina que far\u00e1 todo o processo indevido. Este Malware \u00e9 chamado de “mf”, ou seja, mother fucker.
\nSe o R\u00e1dio est\u00e1 conectado a internet, seja por um IP p\u00fablico ou IP privado, por\u00e9m, atrav\u00e9s de um NAT, o problema tamb\u00e9m ocorrer\u00e1. Portanto, se o r\u00e1dio tiver qualquer contato direto com a internet \u00e9 importante rodar um programa de corre\u00e7\u00e3o e se poss\u00edvel, tamb\u00e9m a atualiza\u00e7\u00e3o.<\/p>\n

Como Garantir a Seguran\u00e7a contra o\u00a0V\u00edrus em R\u00e1dios Ubiquiti<\/h2>\n

Ubiquiti se empenha em amea\u00e7as deste n\u00edvel e criou alguns procedimentos para corrigir os problemas.<\/p>\n

1- Via aplicativo Android:<\/h3>\n

Para diagnosticar e Corrigir o Problema, fa\u00e7a o download aqui<\/a> e comece a corrigir e proteger a sua rede. O aplicativo pode corrigir pos problemas em massa, no entanto \u00e9 preciso entender a topologia de cada rede, onde possa ser acessado via aplicativo.<\/p>\n

2- Via Script CLI<\/h3>\n

Para Verificar se a a\u00e7\u00e3o maliciosa foi implantada dentro do r\u00e1dio Ubiquiti, basta rodar o comando abaixo, chamando o arquivo de corre\u00e7\u00e3o(clique aqui para baixar o arquivo)<\/a> da Ubiquiti Networks<\/p>\n

C:\\Users\\ENTELCO\\Downloads>java -jar CureMalware-0.8.jar
\nSkynet\/PimPamPum\/ExploitIM malware removal tool v0.8 for Ubiquiti devices<\/p>\n

Copyright 2006-2016, Ubiquiti Networks, Inc. <support@ubnt.com><\/p>\n

This program is proprietary software; you can not redistribute it and\/or modify
\nit without signed agreement with Ubiquiti Networks, Inc.<\/p>\n

Possible formats for IP(s):
\nIP <192.168.1.1>
\nIP list <192.168.1.1, 192.168.1.20>
\nIP range <192.168.1.1-192.168.1.254>
\nEnter IP(s): 192.168.1.20
\nPossible actions:
\nCheck [1]
\nCheck and Cure [2]
\nCheck, Cure and Update [3]
\nEnter action <1|2|3>: 3
\nEnter ssh port [22]:
\nEnter user name [ubnt]: ubnt
\nReuse password <y|n>[y]: y
\nProcessing ubnt@192.168.1.20:22 …
\nPassword for ubnt@192.168.1.20:
\nChecking…
\nCRITICAL: Infected by exploitim
\nWARNING: User Script(s) is(are) installed:
\n\/etc\/persistent\/rc.poststart
\nReview\/remove manually!
\nDone.
\nCleaning…
\nDone.
\nIT IS STRONGLY RECOMMENDED TO CHANGE PASSWORD ON CURED DEVICE!
\nIT IS STRONGLY RECOMMENDED TO RUN CURED+UPDATE PROCEDURE!
\nPreparing Upgrade…
\nDone.
\nUploading firmware: \/firmwares\/XM.bin …
\nSending… [%100]
\nDone.
\nUpgrading…
\nCurrent ver: 329220
\nNew version: 329221
\nNo need to fix.
\nWriting ‘u-boot ‘ to \/dev\/mtd0(u-boot ) … [%100]
\nWriting ‘kernel ‘ to \/dev\/mtd2(kernel ) … [%100]
\nWriting ‘rootfs ‘ to \/dev\/mtd3(rootfs ) … [%100]
\nDone.<\/address>\n

Observa\u00e7\u00e3o: Fique atento a vers\u00e3o do Firmware, pois se voc\u00ea utilizar o modo “Compliance Test” em seu r\u00e1dio, ela poder\u00e1 n\u00e3o funcionar nos canais de aplica\u00e7\u00e3o da c\u00e9lula ap\u00f3s a pr\u00f3xima mudan\u00e7a em seu AP (Tx). Em caso de d\u00favidas sobre a vers\u00e3o, voc\u00ea poder\u00e1 apenas fazer a corre\u00e7\u00e3o com o script e n\u00e3o atualizar neste momento, fazendo a atualiza\u00e7\u00e3o posteriormente.<\/p>\n

3- Via CLI Manualmente<\/h3>\n

Instru\u00e7\u00f5es para remo\u00e7\u00e3o do Malware Manualmente via SSH.<\/p>\n

1 – Acesso:
\nAcesse o r\u00e1dio via ssh<\/p>\n

2 – localize os arquivos .mf e rc.poststart \u00a0(se estiver contamidado):
\nls -la<\/p>\n

3 – V\u00e1 at\u00e9 a pasta local
\ncd \/etc\/persistent<\/p>\n

4 – Para remover o malware, execute um comando por vez:
\nrm mf.tar
\nrm -rf .mf
\nrm -r mcuser
\nrm rc.poststart<\/p>\n

5 – Remova os arquivos de senha mcuser, execute um comando por vez:
\ncat \/etc\/passwd | grep -v mcuser >> \/etc\/passwd2
\ncat \/etc\/passwd2 >> \/etc\/passwd
\nrm \/etc\/passwd2<\/p>\n

6\u00a0– Agora Salve as altera\u00e7\u00f5es efetuadas
\ncfgmtd -w -p \/etc\/<\/p>\n

7\u00a0– Para parar os processo, execute os seguintes comandos<\/p>\n

killall -9 search
\nkillall -9 mother
\nkillall -9 sleep<\/p>\n

8\u00a0– Agora ser\u00e1 necess\u00e1rio reiniciar o r\u00e1dio:
\nreboot<\/p>\n

9- Acesso o R\u00e1dio pela interface Web e altere o usu\u00e1rio e senha, assim como as portas http e ssh. Se poss\u00edvel, fa\u00e7a o bloqueio destas portas para acessos via internet, isto aumentar\u00e1 a chance de seu r\u00e1dio n\u00e3o sofrer outros tipos de ataques.<\/p>\n

\u00c9 importante lembrar que o acesso (administrativo) aos equipamentos n\u00e3o devem ficar expostos a internet, ou seja, ter livre acesso a eles via IP, pois esta porta de entrada, aumenta ainda mais o risco de problemas ao r\u00e1dio do cliente.<\/p>\n

Um dos acessos ao script malicioso \u00e9 proveniente do site\u00a0http:\/\/openwrt.org, (veja o IP que responde a este dom\u00ednio), que tamb\u00e9m poder\u00e1 ser bloqueado, reduzindo as margens de risco sobre o Malware.<\/p>\n

Cursos sobre\u00a0Ubiquiti e airOS<\/h2>\n

A ENTELCO TELECOM oferece os curso Ubiquiti airMAX oficial UBWA<\/a>, com certifica\u00e7\u00e3o t\u00e9cnica. Somos em 5 engenheiros na ENTELCO e todos com um grande potencial para ensin\u00e1-los a configurar estes equipamentos, e todos s\u00e3o especializados em Engenharia de Telecomunica\u00e7\u00f5es e em arquiteturas TCP\/IP.<\/p>\n

Os novos cursos Ubiquiti, promovem o conte\u00fado avan\u00e7ado em Telecomunica\u00e7\u00f5es<\/p>\n

Fa\u00e7a j\u00e1 a sua inscri\u00e7\u00e3o:<\/strong><\/p>\n

UBWA Ubiquiti Broadband Wireless Admin<\/a><\/p>\n

Garanta j\u00e1 a sua vaga.<\/p>\n

Os cursos oferecem aos alunos uma capacidade elevad\u00edssima de conhecimento em telecomunica\u00e7\u00f5es para aplica\u00e7\u00f5es dos equipamentos Ubiquiti. A proposta \u00e9 certificar 300 novos t\u00e9cnicos at\u00e9 o final de 2016.<\/p>\n

Os cursos s\u00e3o oferecidos em todo o Brasil, fa\u00e7a parte desta lista de certificados.<\/p>\n

Abra\u00e7os<\/p>\n

Rog\u00e9rio Barion<\/strong>
\nENTELCO TELECOM<\/address>\n

 <\/p>\n<\/div><\/div>","protected":false},"excerpt":{"rendered":"

O que \u00e9 preciso saber sobre o\u00a0V\u00edrus em R\u00e1dios Ubiquiti Nos \u00faltimos dias, est\u00e3o ocorrendo\u00a0diversas atividades maliciosas em r\u00e1dios UBIQUITI AirMAX. Na maioria dos casos, os dispositivos s\u00e3o “resetados” aos padr\u00f5es de f\u00e1brica. Em outros casos, os dispositivos ficam operacionais, mas inacess\u00edveis. A a\u00e7\u00e3o \u00e9 um Expoit malicioso ou Malware. Se voc\u00ea possui um R\u00e1dio […]<\/p>\n","protected":false},"author":1,"featured_media":3801,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[29],"tags":[2104,2101,2102,2103,2100,2098,2105,2106,2099],"_links":{"self":[{"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts\/3799"}],"collection":[{"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/comments?post=3799"}],"version-history":[{"count":14,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts\/3799\/revisions"}],"predecessor-version":[{"id":3817,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/posts\/3799\/revisions\/3817"}],"wp:featuredmedia":[{"embeddable":true,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/media\/3801"}],"wp:attachment":[{"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/media?parent=3799"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/categories?post=3799"},{"taxonomy":"post_tag","embeddable":true,"href":"http:\/\/www.entelco.com.br\/blog\/wp-json\/wp\/v2\/tags?post=3799"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}