
<div dir="ltr"><div><div><div>Hallo,<br><br></div>ich hab' mal meine Erkenntnisse und Vorschläge zur raschen Lösung hier zusammengefasst:<br><a href="https://stefan.schultheis.at/2016/ubiquiti-airos-hack-funkfeuer/">https://stefan.schultheis.at/2016/ubiquiti-airos-hack-funkfeuer/</a><br><br></div>Ist quick & dirty, soll eher helfen, das Problem mal zu erfassen und bietet einen Lösungsansatz zum Entfernen, wobei ich glaube, dass des nur eine Sofortmaßnahme ist und eher ein Reset auf Werkeinstellungen zu bevorzugen ist.<br><br></div><div>Sobald Chris etwas für die Migration zum EdgeRouter hat, würde ich das gerne als dauerhafte Lösung dort verlinken.<br></div><div><br></div>Zur Info,<br>LgS<br><br><div><div><div><div><div class="gmail_extra"><br><div class="gmail_quote">Am 15. Mai 2016 um 23:16 schrieb Erich N. Pekarek <span dir="ltr"><<a href="mailto:erich@pekarek.at" target="_blank">erich@pekarek.at</a>></span>:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hallo!<span class=""><br>

<br>

Am 2016-05-15 um 19:02 schrieb Christoph Loesch:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

hi,<br>

<br>

kann mir jemand, dessen gerät gekapert wurde, nachsehen ob da weiters noch andere dateien dieses angriffs liegen?<br>

ich finde auf jedem meiner gekaperten geräte nur die datei mf.tar und eine cardlist.txt?<br>

</blockquote>

</span><a href="https://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940" rel="noreferrer" target="_blank">https://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940</a><span class=""><br>

<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

laut bernhard gibt es noch eine rc.prestart, welche ich bisher nicht vorliegen hatte?<br>

</blockquote></span>

Es gibt zwei verschiedene Varianten - eine legt die rc.prestart, die andere (mf) die rc.poststart an.<span class=""><br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>

bei den meisten geräten ist einfach der aktuell konfigurierte user durch mother (mit pw fucker) ersetzt worden.<br>

</blockquote></span>

Nein, es ist mehr als das. Es werden in /etc/persistent diverse Skripts abgelegt, deren Funktion kurz mit "search and infect" zusammengefasst werden kann.<span class=""><br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

ist aber nicht permanent, sobald man im webif einstellungen verändert oder gar rebootet, ist alles wieder beim alten (abgesehen von der datei mf.tar die da rumliegt)<br>

manche geräte sind wirklich komplett reseted, also weder config wurde beibehalten, noch diese seltsame mf.tar...<br>

</blockquote></span>

Die mf.tar beinhaltet die "Payload" die Skripte in /etc/persistent können anderen Schadcode nachladen, respektive öffnen sie einen ssh-Dienst auf einem anderen Port.<br>

<br>

Weiters installiert das Skript diverse ipkgs - die auf dem System verbleiben.<br>

<br>

Es gibt im Forum "Cleaner-Skripts". Ein tftp-Flash ist meines Erachtens vorzuziehen.<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">

<br>

als mittelfristige lösung setze ich auf jedem airos den http(80) sowie https(443) port auf einen nicht-standard port.<br></span>

ebenfalls den ssh(22) port auf eiRestlos nen anderen setzen.<br>

</blockquote>

Bis der Urheber den Wurm intelligenter macht, wird das helfen. Die Infektion erfolgt über Skript/Parameter-overloading der cgi-Dateien von AirOS.<br>

Mehr findest Du unter dem geposteten Link. Alle aktuellen Versionen sind betroffen.<span class=""><br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>

langfristig kommt überall ein edgerouter/edgepoint hin und die antennen bekommen interne ips und bridgen durch.<br>

</blockquote></span>

Oder sonst was, auf dem OLSR läuft.<div><div class="h5"><br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

management der antennen dann zentral über edgerouter/edgepoint.<br>

<br>

werde in kürze ein howto bzgl edgerouter setup schreiben.<br>

</blockquote>

<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

lg christoph<br>

<br>

Am 14.05.2016 um 13:38 schrieb Bernhard Marker:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

Hallo,<br>

<br>

Folgende Links kann ich anbieten - mit die gewünschten definitionen<br>

<br>

<a href="http://community.ubnt.com/t5/airMAX-General-Discussion/Possible-new-malware/td-p/1553567/page/2" rel="noreferrer" target="_blank">http://community.ubnt.com/t5/airMAX-General-Discussion/Possible-new-malware/td-p/1553567/page/2</a><br>

<a href="http://community.ubnt.com/t5/airMAX-General-Discussion/bd-p/airMAX-General" rel="noreferrer" target="_blank">http://community.ubnt.com/t5/airMAX-General-Discussion/bd-p/airMAX-General</a><br>

<a href="http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563674#U1563674" rel="noreferrer" target="_blank">http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563674#U1563674</a><br>

<br>

Mir scheint sie kommen initial über einen HTTP(s) Expoit rein. Wie bereits schon in alten Versionen bekannt...<br>

Scheinbar gibts da eine neue lücke - will aber nicht zu Laut schreien - da bereits die meisten Geräte von mir mit<br>

Edgerouter Setup laufen.<br>

<br>

lg<br>

Bernhard<br>

<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

Am 14.05.2016 um 13:30 schrieb Erich N. Pekarek <<a href="mailto:erich@pekarek.at" target="_blank">erich@pekarek.at</a> <mailto:<a href="mailto:erich@pekarek.at" target="_blank">erich@pekarek.at</a>>>:<br>

<br>

Hallo Bernhard!<br>

Ich schau mir das gerade auf meinen Kisterln an... sehe ich das auf den ersten Blick richtig, dass da ein Script vermeintliche SSH-Keys (über ein File mf.tar) installiert, die offenbar ausführbaren Code enthalten und so eine Lücke im sshd ausnützen?<br>

<br>

Eventuell Aaron ein Code-Sample für's Cert sichern?<br>

<br>

Danke!<br>

LG<br>

Erich<br>

<br>

Am 2016-05-14 um 13:10 schrieb Bernhard Marker:<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

Nachtrag:<br>

Man kann natürlich auch die Firewall der Antenne nutzen damit man den HTTP(s) Port nur von Funkfeuer IPs erlaubt!<br>

Dann sollte das Problem auch behoben werden.<br>

<br>

Hab selber aber noch keine aktive und funktionierende Regel bei der Hand - sollte diese jemand bereits haben, Postet diese.<br>

Danke!<br>

<br>

lg<br>

Bernhard<br>

<br>

<br>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

Am 14.05.2016 um 12:59 schrieb Bernhard Marker <<a href="mailto:bernhard@cybercomm.at" target="_blank">bernhard@cybercomm.at</a> <mailto:<a href="mailto:bernhard@cybercomm.at" target="_blank">bernhard@cybercomm.at</a>>>:<br>

<br>

Hallo,<br>

<br>

Wir haben leider seit Gestern ein Problem gefunden.<br>

Es sind mehrere Antennen von Ubiquiti mit Malware (Virus) bespielt und sollten bitte geprüft oder bereinigt werden.<br>

Der Bug steckt wiedermal im Webserver - es sind auch aktuelle Versionen (nicht nur alte) betroffen. Dadurch ist es WICHTIG<br>

den WEBSERVER zu deaktivieren.<br>

<br>

Was natürlich auch ein Vorteil ist - wenn der SSH Port nicht auf 22 läuft.<br>

<br>

ich hab folgend ein Kleines Script anhand Foren und User-Comments zusammengefasst. Dies hat aber auch Abhängigkeiten<br>

die man unbedingt VORHER prüfen sollte.<br>

<br>

- das Script lösche die rc.prestart Datei (solltet ihr Custom Scripts aktiviert haben - dann ladet das Script von mir bitte herunter<br>

und bearbeitet die rc.prestart manuell / alles das ihr nicht kennt raus!)<br>

- der Webserver ist danach Deaktiviert!<br>

<br>

wget <<a href="http://www.cybercomm.at/ubnt/remover.txt" rel="noreferrer" target="_blank">http://www.cybercomm.at/ubnt/remover.txt</a>><a href="http://www.cybercomm.at/ubnt/remover.txt" rel="noreferrer" target="_blank">http://www.cybercomm.at/ubnt/remover.txt</a> && mv remover.txt remover.sh && chmod 777 remover.sh && /etc/persistent/remover.sh<br>

<br>

Danach rebootet die Antenne - und ist dann hoffentlich wieder Online.<br>

Alles auf eigene Gefahr - es sind bereits die ersten Knoten Offline - daher - lieber mal nachschauen.<br>

<br>

Die Setups wo der Edgerouter bereits als zentrale Schnittstelle mit OLSR läuft - sind wie ich gesehen habe „NICHT“ betroffen.<br>

Da der Edgerouter kein AirOS verwendet - haben wir hier das Problem nicht.<br>

<br>

Falls jemand Unterstützung benötigt - Ruft mich an / Email ist auch ok - dauert länger :) - (null sechs achtzig 14 144 14)<br>

<br>

lg<br>

Bernhard<br>

--<br>

Wien mailing list<br>

<a href="mailto:Wien@lists.funkfeuer.at" target="_blank">Wien@lists.funkfeuer.at</a> <mailto:<a href="mailto:Wien@lists.funkfeuer.at" target="_blank">Wien@lists.funkfeuer.at</a>><br>

<a href="https://lists.funkfeuer.at/mailman/listinfo/wien" rel="noreferrer" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/wien</a><br>

</blockquote>

<br>

<br>

--<br>

Wien mailing list<br>

<a href="mailto:Wien@lists.funkfeuer.at" target="_blank">Wien@lists.funkfeuer.at</a><br>

<a href="https://lists.funkfeuer.at/mailman/listinfo/wien" rel="noreferrer" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/wien</a><br>

</blockquote></blockquote>

<br>

<br>

--<br>

Wien mailing list<br>

<a href="mailto:Wien@lists.funkfeuer.at" target="_blank">Wien@lists.funkfeuer.at</a><br>

<a href="https://lists.funkfeuer.at/mailman/listinfo/wien" rel="noreferrer" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/wien</a><br>

<br>

</blockquote>

--<br>

Wien mailing list<br>

<a href="mailto:Wien@lists.funkfeuer.at" target="_blank">Wien@lists.funkfeuer.at</a><br>

<a href="https://lists.funkfeuer.at/mailman/listinfo/wien" rel="noreferrer" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/wien</a><br>

</blockquote></div></div>

LG<span class=""><font color="#888888"><br>

Erich</font></span><div class=""><div class="h5"><br>

<br>

--<br>

Wien mailing list<br>

<a href="mailto:Wien@lists.funkfeuer.at" target="_blank">Wien@lists.funkfeuer.at</a><br>

<a href="https://lists.funkfeuer.at/mailman/listinfo/wien" rel="noreferrer" target="_blank">https://lists.funkfeuer.at/mailman/listinfo/wien</a></div></div></blockquote></div><br></div></div></div></div></div></div>