[Wien] Ubiquiti Malware / Virus! Bitte prüft eure Geräte (dzt. nur Antennen betroffen)

Sa Mai 14 13:38:24 CEST 2016

Hallo,

Folgende Links kann ich anbieten - mit die gewünschten definitionen

http://community.ubnt.com/t5/airMAX-General-Discussion/Possible-new-malware/td-p/1553567/page/2 <http://community.ubnt.com/t5/airMAX-General-Discussion/Possible-new-malware/td-p/1553567/page/2>
http://community.ubnt.com/t5/airMAX-General-Discussion/bd-p/airMAX-General <http://community.ubnt.com/t5/airMAX-General-Discussion/bd-p/airMAX-General>
http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563674#U1563674 <http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563674#U1563674>

Mir scheint sie kommen initial über einen HTTP(s) Expoit rein. Wie bereits schon in alten Versionen bekannt...
Scheinbar gibts da eine neue lücke - will aber nicht zu Laut schreien - da bereits die meisten Geräte von mir mit
Edgerouter Setup laufen.

lg
Bernhard

> Am 14.05.2016 um 13:30 schrieb Erich N. Pekarek <(spam-protected)>:
> 
> Hallo Bernhard!
> Ich schau mir das gerade auf meinen Kisterln an... sehe ich das auf den ersten Blick richtig, dass da ein Script vermeintliche SSH-Keys (über ein File mf.tar) installiert, die offenbar ausführbaren Code enthalten und so eine Lücke im sshd ausnützen?
> 
> Eventuell Aaron ein Code-Sample für's Cert sichern?
> 
> Danke!
> LG
> Erich
> 
> Am 2016-05-14 um 13:10 schrieb Bernhard Marker:
>> Nachtrag:
>> Man kann natürlich auch die Firewall der Antenne nutzen damit man den HTTP(s) Port nur von Funkfeuer IPs erlaubt!
>> Dann sollte das Problem auch behoben werden.
>> 
>> Hab selber aber noch keine aktive und funktionierende Regel bei der Hand - sollte diese jemand bereits haben, Postet diese.
>> Danke!
>> 
>> lg
>> Bernhard
>> 
>> 
>>> Am 14.05.2016 um 12:59 schrieb Bernhard Marker <(spam-protected) <mailto:(spam-protected)>>:
>>> 
>>> Hallo,
>>> 
>>> Wir haben leider seit Gestern ein Problem gefunden.
>>> Es sind mehrere Antennen von Ubiquiti mit Malware (Virus) bespielt und sollten bitte geprüft oder bereinigt werden.
>>> Der Bug steckt wiedermal im Webserver - es sind auch aktuelle Versionen (nicht nur alte) betroffen. Dadurch ist es WICHTIG
>>> den WEBSERVER zu deaktivieren.
>>> 
>>> Was natürlich auch ein Vorteil ist - wenn der SSH Port nicht auf 22 läuft.
>>> 
>>> ich hab folgend ein Kleines Script anhand Foren und User-Comments zusammengefasst. Dies hat aber auch Abhängigkeiten
>>> die man unbedingt VORHER prüfen sollte.
>>> 
>>> - das Script lösche die rc.prestart Datei (solltet ihr Custom Scripts aktiviert haben - dann ladet das Script von mir bitte herunter
>>> und bearbeitet die rc.prestart manuell / alles das ihr nicht kennt raus!)
>>> - der Webserver ist danach Deaktiviert!
>>> 
>>> wget  <http://www.cybercomm.at/ubnt/remover.txt>http://www.cybercomm.at/ubnt/remover.txt <http://www.cybercomm.at/ubnt/remover.txt> && mv remover.txt remover.sh && chmod 777 remover.sh && /etc/persistent/remover.sh
>>> 
>>> Danach rebootet die Antenne - und ist dann hoffentlich wieder Online.
>>> Alles auf eigene Gefahr - es sind bereits die ersten Knoten Offline - daher - lieber mal nachschauen.
>>> 
>>> Die Setups wo der Edgerouter bereits als zentrale Schnittstelle mit OLSR läuft - sind wie ich gesehen habe „NICHT“ betroffen.
>>> Da der Edgerouter kein AirOS verwendet - haben wir hier das Problem nicht.
>>> 
>>> Falls jemand Unterstützung benötigt - Ruft mich an / Email ist auch ok - dauert länger :) - (null sechs achtzig 14 144 14)
>>> 
>>> lg
>>> Bernhard
>>> --
>>> Wien mailing list
>>> (spam-protected) <mailto:(spam-protected)>
>>> https://lists.funkfeuer.at/mailman/listinfo/wien <https://lists.funkfeuer.at/mailman/listinfo/wien>
>> 
>> 
>> --
>> Wien mailing list
>> (spam-protected) <mailto:(spam-protected)>
>> https://lists.funkfeuer.at/mailman/listinfo/wien <https://lists.funkfeuer.at/mailman/listinfo/wien>

-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/wien/attachments/20160514/c8bf21fb/attachment.htm>