Jump to content

Масово заразени UBNT устройства

ASnet

От ASnet
в Скриптове и Упътвания

 Сподели

Recommended Posts

ASnet Новак

ASnet

Публикувано
Публикувано

Здравейте колеги пускам нова тема с цел да разберем проблема с заразените устройства колко широкообхватен е. 

Та проблема е следния:

Custom Script Enabled изписва под скалата на AirMax нивото. Антените са в частна мрежа но незнайно как е проникнал скрипта. Всички антени с версия под 5.6 са пострадали. Лекуването става по следния начин:

cd /etc/persistent/
rm mf.tar
rm rc.poststart
rm -R .mf
cfgmtd -p /etc/persistent/ -w
reboot 

След това задължително ъпдейт до 5.6.5. Понякога се изисква ребут преди ъпдейта защото антената те изхвърля когато тръгнеш да качваш новата версия. Измерението на проблема не свършва до тука. От прекалено големия товар върху антената процесорчетата понякога не издържат на напъна и се ресетва антената до фабрични настройки ( това е добрия вариант ) имам случаи и на гръмнали процесори. Проблема е огромен особено ако в мрежата имаш 500 - 600 устройства. Прегледайте си УБНТ устройствата за да нямате същите проблеми 8 дена станаха от както циркулираме в областта като диви и замаяни за да коригираме проблемите. В прикачения файл можете да видите какво се случва.

Без име2.png

Без име3.png

Губим време, за да си осигурим работно време и водим битки, за да живеем в мир. (Аристотел)

Адрес на коментара
Сподели в други сайтове
  • Отговори 41
  • Created
  • Последен отговор

Top Posters In This Topic

  • master

    12

  • ASnet

    6

  • yordanstefanov

    5

  • ushoplias

    4

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

niki5
niki5

Така е с порт скенер всичко лъсва ама и работата на хакера двойна.Втората мярка е задължителна ,а именно смяна на паролата .А аз препоръчвам да е дума на български ама с латински и даже препоръчвам на

yordanstefanov
yordanstefanov

Дори и умишлено да е това заразяване, в което не се съмнявам, само показва, че устройствата на ubnt са уязвими... и ненадежни .....

Posted Images

master Community Regular

master

Отговорено
Отговорено

Този проблем не се ли реши в доста по стари версии? А тези които са на xm? При 5.6.5 работи ли соm test?

На истина много неприятно е това. Дано да сте оправили всичко.

Analog Audio™

Адрес на коментара
Сподели в други сайтове
ASnet
Новак

ASnet

Отговорено
  • Автор
Отговорено

Ами нищо не е оправено. Бедата е голяма. След ъпдейт спира скрипта но си е там. Ръчно трябва да се лекуват пак.

Губим време, за да си осигурим работно време и водим битки, за да живеем в мир. (Аристотел)

Адрес на коментара
Сподели в други сайтове
master Community Regular

master

Отговорено
Отговорено

T.e. са заразени но си работят и ако зарязят някой с по-стара версия там е проблема или не съм разбрал правилно ?

А става ли ясно от къде се заразяват и как точно става с или без външна намеса?

Analog Audio™

Адрес на коментара
Сподели в други сайтове
net-sar Изследовател

net-sar

Отговорено
Отговорено

Преди доста време се светнахме,че е възможно някой от някъде си да ни навреди по този начин.Не мисля че решението е  name и  pass 

а мисля че е най добре да си смениш порта.Преди два дни имах същия проблем с един AirGrid  и си помислих какъв е този nickname и защо само от 100 устройства  на него е ,,motherfucker" с променени настройки! Установихме че само на него не му бяхме сменили порта за влизане.Така че те съветвам от разстояние да си сложиш някакъв порт като 2260 или 2030 и др.

Адрес на коментара
Сподели в други сайтове
ASnet
Новак

ASnet

Отговорено
  • Автор
Отговорено (Редактирано)
преди 34 минути, net-sar написа:

Преди доста време се светнахме,че е възможно някой от някъде си да ни навреди по този начин.Не мисля че решението е  name и  pass 

а мисля че е най добре да си смениш порта.Преди два дни имах същия проблем с един AirGrid  и си помислих какъв е този nickname и защо само от 100 устройства  на него е ,,motherfucker" с променени настройки! Установихме че само на него не му бяхме сменили порта за влизане.Така че те съветвам от разстояние да си сложиш някакъв порт като 2260 или 2030 и др.

За 80 порт става на въпрос нали

Преди 7 часа, dimo_tenev написа:

При качване до 5.6.6 com test изчезва но след touch /etc/persistent/ct -- save --- reboot си идва на мястото
 

Започнаха през 2 дена версии да пишат май проблема не е малък! Тази версия днес е излязла. Хм пак ъпдейт :angry:

Редактирано от ASnet

Губим време, за да си осигурим работно време и водим битки, за да живеем в мир. (Аристотел)

Адрес на коментара
Сподели в други сайтове
ASnet
Новак

ASnet

Отговорено
  • Автор
Отговорено (Редактирано)
Преди 9 часа, master написа:

T.e. са заразени но си работят и ако зарязят някой с по-стара версия там е проблема или не съм разбрал правилно ?

А става ли ясно от къде се заразяват и как точно става с или без външна намеса?

Точно така те са заразени но си работят. Като ХИВ позитивни са антенките. При мене предполагам че проблемът тръгна от устройствата които са с публични айпита в режим рутер.

Редактирано от ASnet

Губим време, за да си осигурим работно време и водим битки, за да живеем в мир. (Аристотел)

Адрес на коментара
Сподели в други сайтове
space Изследовател

space

Отговорено
Отговорено

Слава Богу аз минах с "счупването" само на 2 антени и клиентски рутер АИр ,  бяха ресетнати под дефаулт , и понеже бяха НАТ -нати може би затова , след като "скрих" и тях проблем не съм имал.

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
 Сподели
Върнете се назад

  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.

  I accept