<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Hallo,<div class=""><br class=""></div><div class="">Folgende Links kann ich anbieten - mit die gewünschten definitionen</div><div class=""><br class=""></div><div class=""><a href="http://community.ubnt.com/t5/airMAX-General-Discussion/Possible-new-malware/td-p/1553567/page/2" class="">http://community.ubnt.com/t5/airMAX-General-Discussion/Possible-new-malware/td-p/1553567/page/2</a></div><div class=""><a href="http://community.ubnt.com/t5/airMAX-General-Discussion/bd-p/airMAX-General" class="">http://community.ubnt.com/t5/airMAX-General-Discussion/bd-p/airMAX-General</a></div><div class=""><a href="http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563674#U1563674" class="">http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563674#U1563674</a></div><div class=""><br class=""></div><div class="">Mir scheint sie kommen initial über einen HTTP(s) Expoit rein. Wie bereits schon in alten Versionen bekannt...</div><div class="">Scheinbar gibts da eine neue lücke - will aber nicht zu Laut schreien - da bereits die meisten Geräte von mir mit</div><div class="">Edgerouter Setup laufen.</div><div class=""><br class=""></div><div class="">lg</div><div class="">Bernhard</div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">Am 14.05.2016 um 13:30 schrieb Erich N. Pekarek <<a href="mailto:erich@pekarek.at" class="">erich@pekarek.at</a>>:</div><br class="Apple-interchange-newline"><div class="">
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" class="">
<div bgcolor="#FFFFFF" text="#000000" class="">
<div class="moz-cite-prefix">Hallo Bernhard!<br class="">
Ich schau mir das gerade auf meinen Kisterln an... sehe ich das
auf den ersten Blick richtig, dass da ein Script vermeintliche
SSH-Keys (über ein File mf.tar) installiert, die offenbar
ausführbaren Code enthalten und so eine Lücke im sshd ausnützen?<br class="">
<br class="">
Eventuell Aaron ein Code-Sample für's Cert sichern?<br class="">
<br class="">
Danke!<br class="">
LG<br class="">
Erich<br class="">
<br class="">
Am 2016-05-14 um 13:10 schrieb Bernhard Marker:<br class="">
</div>
<blockquote cite="mid:9AB11435-E40B-4013-84D4-9748FB187582@cybercomm.at" type="cite" class="">
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" class="">
Nachtrag:
<div class="">Man kann natürlich auch die Firewall der Antenne
nutzen damit man den HTTP(s) Port nur von Funkfeuer IPs erlaubt!</div>
<div class="">Dann sollte das Problem auch behoben werden.</div>
<div class=""><br class="">
</div>
<div class="">Hab selber aber noch keine aktive und
funktionierende Regel bei der Hand - sollte diese jemand bereits
haben, Postet diese.</div>
<div class="">Danke!</div>
<div class=""><br class="">
</div>
<div class="">lg</div>
<div class="">Bernhard</div>
<div class=""><br class="">
</div>
<div class=""><br class="">
<div class="">
<blockquote type="cite" class="">
<div class="">Am 14.05.2016 um 12:59 schrieb Bernhard Marker
<<a moz-do-not-send="true" href="mailto:bernhard@cybercomm.at" class="">bernhard@cybercomm.at</a>>:</div>
<br class="Apple-interchange-newline">
<div class="">
<meta http-equiv="Content-Type" content="text/html;
charset=utf-8" class="">
<div style="word-wrap: break-word; -webkit-nbsp-mode:
space; -webkit-line-break: after-white-space;" class="">Hallo,
<div class=""><br class="">
</div>
<div class="">Wir haben leider seit Gestern ein Problem
gefunden.</div>
<div class="">Es sind mehrere Antennen von Ubiquiti mit
Malware (Virus) bespielt und sollten bitte geprüft
oder bereinigt werden.</div>
<div class="">Der Bug steckt wiedermal im Webserver - es
sind auch aktuelle Versionen (nicht nur alte)
betroffen. Dadurch ist es WICHTIG</div>
<div class="">den WEBSERVER zu deaktivieren.</div>
<div class=""><br class="">
</div>
<div class="">Was natürlich auch ein Vorteil ist - wenn
der SSH Port nicht auf 22 läuft.</div>
<div class=""><br class="">
</div>
<div class="">ich hab folgend ein Kleines Script anhand
Foren und User-Comments zusammengefasst. Dies hat aber
auch Abhängigkeiten</div>
<div class="">die man unbedingt VORHER prüfen sollte.</div>
<div class=""><br class="">
</div>
<div class="">- das Script lösche die rc.prestart Datei
(solltet ihr Custom Scripts aktiviert haben - dann
ladet das Script von mir bitte herunter</div>
<div class="">und bearbeitet die rc.prestart manuell /
alles das ihr nicht kennt raus!)</div>
<div class="">- der Webserver ist danach Deaktiviert!</div>
<div class=""><br class="">
</div>
<div class="">
<div style="margin: 0px; font-size: 10px; line-height:
normal; font-family: Monaco; color: rgb(245, 245,
245); background-color: rgb(0, 0, 0);" class=""><span style="font-variant-ligatures:
no-common-ligatures" class="">wget <a moz-do-not-send="true" href="http://www.cybercomm.at/ubnt/remover.txt" class=""></a><a class="moz-txt-link-freetext" href="http://www.cybercomm.at/ubnt/remover.txt">http://www.cybercomm.at/ubnt/remover.txt</a>
&& mv remover.txt remover.sh &&
chmod 777 remover.sh &&
/etc/persistent/rem</span>over.sh</div>
</div>
<div class=""><br class="">
</div>
<div class="">Danach rebootet die Antenne - und ist dann
hoffentlich wieder Online.</div>
<div class="">Alles auf eigene Gefahr - es sind bereits
die ersten Knoten Offline - daher - lieber mal
nachschauen.</div>
<div class=""><br class="">
</div>
<div class="">Die Setups wo der Edgerouter bereits als
zentrale Schnittstelle mit OLSR läuft - sind wie ich
gesehen habe „NICHT“ betroffen.</div>
<div class="">Da der Edgerouter kein AirOS verwendet -
haben wir hier das Problem nicht.</div>
<div class=""><br class="">
</div>
<div class="">Falls jemand Unterstützung benötigt - Ruft
mich an / Email ist auch ok - dauert länger :) - (null
sechs achtzig 14 144 14)</div>
<div class=""><br class="">
</div>
<div class="">lg</div>
<div class="">Bernhard</div>
</div>
--<br class="">
Wien mailing list<br class="">
<a moz-do-not-send="true" href="mailto:Wien@lists.funkfeuer.at" class="">Wien@lists.funkfeuer.at</a><br class="">
<a class="moz-txt-link-freetext" href="https://lists.funkfeuer.at/mailman/listinfo/wien">https://lists.funkfeuer.at/mailman/listinfo/wien</a></div>
</blockquote>
</div>
<br class="">
</div>
<br class="">
<fieldset class="mimeAttachmentHeader"></fieldset>
<br class="">
<pre wrap="" class="">--
Wien mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Wien@lists.funkfeuer.at">Wien@lists.funkfeuer.at</a>
<a class="moz-txt-link-freetext" href="https://lists.funkfeuer.at/mailman/listinfo/wien">https://lists.funkfeuer.at/mailman/listinfo/wien</a></pre>
</blockquote>
<br class="">
</div>
</div></blockquote></div><br class=""></div></body></html>