Hallo, Folgende Links kann ich anbieten - mit die gewünschten definitionen
http://community.ubnt.com/t5/airMAX-General-Discussion/Possible-new-malware/td-p/1553567/page/2 <http://community.ubnt.com/t5/airMAX-General-Discussion/Possible-new-malware/td-p/1553567/page/2> http://community.ubnt.com/t5/airMAX-General-Discussion/bd-p/airMAX-General <http://community.ubnt.com/t5/airMAX-General-Discussion/bd-p/airMAX-General> http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563674#U1563674 <http://community.ubnt.com/t5/airMAX-General-Discussion/Virus-attack-URGENT-UBNT/m-p/1563674#U1563674> Mir scheint sie kommen initial über einen HTTP(s) Expoit rein. Wie bereits schon in alten Versionen bekannt... Scheinbar gibts da eine neue lücke - will aber nicht zu Laut schreien - da bereits die meisten Geräte von mir mit Edgerouter Setup laufen. lg Bernhard > Am 14.05.2016 um 13:30 schrieb Erich N. Pekarek <[email protected]>: > > Hallo Bernhard! > Ich schau mir das gerade auf meinen Kisterln an... sehe ich das auf den > ersten Blick richtig, dass da ein Script vermeintliche SSH-Keys (über ein > File mf.tar) installiert, die offenbar ausführbaren Code enthalten und so > eine Lücke im sshd ausnützen? > > Eventuell Aaron ein Code-Sample für's Cert sichern? > > Danke! > LG > Erich > > Am 2016-05-14 um 13:10 schrieb Bernhard Marker: >> Nachtrag: >> Man kann natürlich auch die Firewall der Antenne nutzen damit man den >> HTTP(s) Port nur von Funkfeuer IPs erlaubt! >> Dann sollte das Problem auch behoben werden. >> >> Hab selber aber noch keine aktive und funktionierende Regel bei der Hand - >> sollte diese jemand bereits haben, Postet diese. >> Danke! >> >> lg >> Bernhard >> >> >>> Am 14.05.2016 um 12:59 schrieb Bernhard Marker <[email protected] >>> <mailto:[email protected]>>: >>> >>> Hallo, >>> >>> Wir haben leider seit Gestern ein Problem gefunden. >>> Es sind mehrere Antennen von Ubiquiti mit Malware (Virus) bespielt und >>> sollten bitte geprüft oder bereinigt werden. >>> Der Bug steckt wiedermal im Webserver - es sind auch aktuelle Versionen >>> (nicht nur alte) betroffen. Dadurch ist es WICHTIG >>> den WEBSERVER zu deaktivieren. >>> >>> Was natürlich auch ein Vorteil ist - wenn der SSH Port nicht auf 22 läuft. >>> >>> ich hab folgend ein Kleines Script anhand Foren und User-Comments >>> zusammengefasst. Dies hat aber auch Abhängigkeiten >>> die man unbedingt VORHER prüfen sollte. >>> >>> - das Script lösche die rc.prestart Datei (solltet ihr Custom Scripts >>> aktiviert haben - dann ladet das Script von mir bitte herunter >>> und bearbeitet die rc.prestart manuell / alles das ihr nicht kennt raus!) >>> - der Webserver ist danach Deaktiviert! >>> >>> wget >>> <http://www.cybercomm.at/ubnt/remover.txt>http://www.cybercomm.at/ubnt/remover.txt >>> <http://www.cybercomm.at/ubnt/remover.txt> && mv remover.txt remover.sh && >>> chmod 777 remover.sh && /etc/persistent/remover.sh >>> >>> Danach rebootet die Antenne - und ist dann hoffentlich wieder Online. >>> Alles auf eigene Gefahr - es sind bereits die ersten Knoten Offline - daher >>> - lieber mal nachschauen. >>> >>> Die Setups wo der Edgerouter bereits als zentrale Schnittstelle mit OLSR >>> läuft - sind wie ich gesehen habe „NICHT“ betroffen. >>> Da der Edgerouter kein AirOS verwendet - haben wir hier das Problem nicht. >>> >>> Falls jemand Unterstützung benötigt - Ruft mich an / Email ist auch ok - >>> dauert länger :) - (null sechs achtzig 14 144 14) >>> >>> lg >>> Bernhard >>> -- >>> Wien mailing list >>> [email protected] <mailto:[email protected]> >>> https://lists.funkfeuer.at/mailman/listinfo/wien >>> <https://lists.funkfeuer.at/mailman/listinfo/wien> >> >> >> -- >> Wien mailing list >> [email protected] <mailto:[email protected]> >> https://lists.funkfeuer.at/mailman/listinfo/wien >> <https://lists.funkfeuer.at/mailman/listinfo/wien>
-- Wien mailing list [email protected] https://lists.funkfeuer.at/mailman/listinfo/wien
