[Wien] Ubiquiti Malware / Virus! Bitte prüft eure Geräte (dzt. nur Antennen betroffen)

[Erich N. Pekarek]

Hallo!

Am 2016-05-15 um 19:02 schrieb Christoph Loesch:
> hi,
>
> kann mir jemand, dessen gerät gekapert wurde, nachsehen ob da weiters noch andere dateien dieses angriffs liegen?
> ich finde auf jedem meiner gekaperten geräte nur die datei mf.tar und eine cardlist.txt?
https://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/td-p/1562940

> laut bernhard gibt es noch eine rc.prestart, welche ich bisher nicht vorliegen hatte?
Es gibt zwei verschiedene Varianten - eine legt die rc.prestart, die 
andere (mf) die rc.poststart an.
>
> bei den meisten geräten ist einfach der aktuell konfigurierte user durch mother (mit pw fucker) ersetzt worden.
Nein, es ist mehr als das. Es werden in /etc/persistent diverse Skripts 
abgelegt, deren Funktion kurz mit "search and infect" zusammengefasst 
werden kann.
> ist aber nicht permanent, sobald man im webif einstellungen verändert oder gar rebootet, ist alles wieder beim alten (abgesehen von der datei mf.tar die da rumliegt)
> manche geräte sind wirklich komplett reseted, also weder config wurde beibehalten, noch diese seltsame mf.tar...
Die mf.tar beinhaltet die "Payload" die Skripte in /etc/persistent 
können anderen Schadcode nachladen, respektive öffnen sie einen 
ssh-Dienst auf einem anderen Port.

Weiters installiert das Skript diverse ipkgs - die auf dem System 
verbleiben.

Es gibt im Forum "Cleaner-Skripts". Ein tftp-Flash ist meines Erachtens 
vorzuziehen.
>
> als mittelfristige lösung setze ich auf jedem airos den http(80) sowie https(443) port auf einen nicht-standard port.
> ebenfalls den ssh(22) port auf eiRestlos nen anderen setzen.
Bis der Urheber den Wurm intelligenter macht, wird das helfen. Die 
Infektion erfolgt über Skript/Parameter-overloading der cgi-Dateien von 
AirOS.
Mehr findest Du unter dem geposteten Link. Alle aktuellen Versionen sind 
betroffen.
>
> langfristig kommt überall ein edgerouter/edgepoint hin und die antennen bekommen interne ips und bridgen durch.
Oder sonst was, auf dem OLSR läuft.
> management der antennen dann zentral über edgerouter/edgepoint.
>
> werde in kürze ein howto bzgl edgerouter setup schreiben.

> lg christoph
>
> Am 14.05.2016 um 13:38 schrieb Bernhard Marker:
>> Hallo,
>>
>> Folgende Links kann ich anbieten - mit die gewünschten definitionen
>>
>> http://community.ubnt.com/t5/airMAX-General-Discussion/Possible-new-malware/td-p/1553567/page/2
>> http://community.ubnt.com/t5/airMAX-General-Discussion/bd-p/airMAX-General
>> http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563674#U1563674
>>
>> Mir scheint sie kommen initial über einen HTTP(s) Expoit rein. Wie bereits schon in alten Versionen bekannt...
>> Scheinbar gibts da eine neue lücke - will aber nicht zu Laut schreien - da bereits die meisten Geräte von mir mit
>> Edgerouter Setup laufen.
>>
>> lg
>> Bernhard
>>
>>> Am 14.05.2016 um 13:30 schrieb Erich N. Pekarek <(spam-protected) <mailto:(spam-protected)>>:
>>>
>>> Hallo Bernhard!
>>> Ich schau mir das gerade auf meinen Kisterln an... sehe ich das auf den ersten Blick richtig, dass da ein Script vermeintliche SSH-Keys (über ein File mf.tar) installiert, die offenbar ausführbaren Code enthalten und so eine Lücke im sshd ausnützen?
>>>
>>> Eventuell Aaron ein Code-Sample für's Cert sichern?
>>>
>>> Danke!
>>> LG
>>> Erich
>>>
>>> Am 2016-05-14 um 13:10 schrieb Bernhard Marker:
>>>> Nachtrag:
>>>> Man kann natürlich auch die Firewall der Antenne nutzen damit man den HTTP(s) Port nur von Funkfeuer IPs erlaubt!
>>>> Dann sollte das Problem auch behoben werden.
>>>>
>>>> Hab selber aber noch keine aktive und funktionierende Regel bei der Hand - sollte diese jemand bereits haben, Postet diese.
>>>> Danke!
>>>>
>>>> lg
>>>> Bernhard
>>>>
>>>>
>>>>> Am 14.05.2016 um 12:59 schrieb Bernhard Marker <(spam-protected) <mailto:(spam-protected)>>:
>>>>>
>>>>> Hallo,
>>>>>
>>>>> Wir haben leider seit Gestern ein Problem gefunden.
>>>>> Es sind mehrere Antennen von Ubiquiti mit Malware (Virus) bespielt und sollten bitte geprüft oder bereinigt werden.
>>>>> Der Bug steckt wiedermal im Webserver - es sind auch aktuelle Versionen (nicht nur alte) betroffen. Dadurch ist es WICHTIG
>>>>> den WEBSERVER zu deaktivieren.
>>>>>
>>>>> Was natürlich auch ein Vorteil ist - wenn der SSH Port nicht auf 22 läuft.
>>>>>
>>>>> ich hab folgend ein Kleines Script anhand Foren und User-Comments zusammengefasst. Dies hat aber auch Abhängigkeiten
>>>>> die man unbedingt VORHER prüfen sollte.
>>>>>
>>>>> - das Script lösche die rc.prestart Datei (solltet ihr Custom Scripts aktiviert haben - dann ladet das Script von mir bitte herunter
>>>>> und bearbeitet die rc.prestart manuell / alles das ihr nicht kennt raus!)
>>>>> - der Webserver ist danach Deaktiviert!
>>>>>
>>>>> wget <http://www.cybercomm.at/ubnt/remover.txt>http://www.cybercomm.at/ubnt/remover.txt && mv remover.txt remover.sh && chmod 777 remover.sh && /etc/persistent/remover.sh
>>>>>
>>>>> Danach rebootet die Antenne - und ist dann hoffentlich wieder Online.
>>>>> Alles auf eigene Gefahr - es sind bereits die ersten Knoten Offline - daher - lieber mal nachschauen.
>>>>>
>>>>> Die Setups wo der Edgerouter bereits als zentrale Schnittstelle mit OLSR läuft - sind wie ich gesehen habe „NICHT“ betroffen.
>>>>> Da der Edgerouter kein AirOS verwendet - haben wir hier das Problem nicht.
>>>>>
>>>>> Falls jemand Unterstützung benötigt - Ruft mich an / Email ist auch ok - dauert länger :) - (null sechs achtzig 14 144 14)
>>>>>
>>>>> lg
>>>>> Bernhard
>>>>> --
>>>>> Wien mailing list
>>>>> (spam-protected) <mailto:(spam-protected)>
>>>>> https://lists.funkfeuer.at/mailman/listinfo/wien
>>>>
>>>>
>>>> --
>>>> Wien mailing list
>>>> (spam-protected)
>>>> https://lists.funkfeuer.at/mailman/listinfo/wien
>>
>>
>> --
>> Wien mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/wien
>>
> --
> Wien mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/wien
LG
Erich