[Wien] Ubiquiti Malware / Virus! Bitte prüft eure Geräte (dzt. nur Antennen betroffen)

Bernhard Marker (spam-protected)
Sa Mai 14 13:10:08 CEST 2016 

Nachtrag:
Man kann natürlich auch die Firewall der Antenne nutzen damit man den HTTP(s) Port nur von Funkfeuer IPs erlaubt!
Dann sollte das Problem auch behoben werden.

Hab selber aber noch keine aktive und funktionierende Regel bei der Hand - sollte diese jemand bereits haben, Postet diese.
Danke!

lg
Bernhard


> Am 14.05.2016 um 12:59 schrieb Bernhard Marker <(spam-protected)>:
> 
> Hallo,
> 
> Wir haben leider seit Gestern ein Problem gefunden.
> Es sind mehrere Antennen von Ubiquiti mit Malware (Virus) bespielt und sollten bitte geprüft oder bereinigt werden.
> Der Bug steckt wiedermal im Webserver - es sind auch aktuelle Versionen (nicht nur alte) betroffen. Dadurch ist es WICHTIG
> den WEBSERVER zu deaktivieren.
> 
> Was natürlich auch ein Vorteil ist - wenn der SSH Port nicht auf 22 läuft.
> 
> ich hab folgend ein Kleines Script anhand Foren und User-Comments zusammengefasst. Dies hat aber auch Abhängigkeiten
> die man unbedingt VORHER prüfen sollte.
> 
> - das Script lösche die rc.prestart Datei (solltet ihr Custom Scripts aktiviert haben - dann ladet das Script von mir bitte herunter
> und bearbeitet die rc.prestart manuell / alles das ihr nicht kennt raus!)
> - der Webserver ist danach Deaktiviert!
> 
> wget http://www.cybercomm.at/ubnt/remover.txt <http://www.cybercomm.at/ubnt/remover.txt> && mv remover.txt remover.sh && chmod 777 remover.sh && /etc/persistent/remover.sh
> 
> Danach rebootet die Antenne - und ist dann hoffentlich wieder Online.
> Alles auf eigene Gefahr - es sind bereits die ersten Knoten Offline - daher - lieber mal nachschauen.
> 
> Die Setups wo der Edgerouter bereits als zentrale Schnittstelle mit OLSR läuft - sind wie ich gesehen habe „NICHT“ betroffen.
> Da der Edgerouter kein AirOS verwendet - haben wir hier das Problem nicht.
> 
> Falls jemand Unterstützung benötigt - Ruft mich an / Email ist auch ok - dauert länger :) - (null sechs achtzig 14 144 14)
> 
> lg
> Bernhard
> --
> Wien mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/wien

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20160514/b4482d3d/attachment.htm>

Mehr Informationen über die Mailingliste Wien