Jump to content

Как да защитя мрежа изградена с продукти на UBNT M5 - серията

jaredharet

От jaredharet
в Безжични мрежи

 Сподели

Recommended Posts

Semoff Новак

Semoff

Отговорено
Отговорено

Да голямо решение .. можеш да не обиждаш хората, а да дадеш смислено предложение.

Тук се обсъждат технически теми, а не .. кой колко знае.

Решението е много смислено и перфектно работещо , и за това ви го казах.

Никого не съм обиждал - който се чуства засегнат негов си проблем, явно има защо :)

Адрес на коментара
Сподели в други сайтове
  • Отговори 143
  • Created
  • Последен отговор

Top Posters In This Topic

  • jaredharet

    19

  • magnate

    14

  • Mile

    13

  • danielskiii

    12

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Mile
Mile

Димко ето ти адрес 93.123.113.3 ssh ти е позволен дори отвън. През това време си пий хапчетата и потърси много скъп доктор. Възможно е да има начин да ти се помогне.

Mile
Mile

бастунчета.... прави се бридж. тура се vlan + wlan в него буташ си така трафика от юзерите към рутера. дига се mng vlan и така се достъпват. на eth през други интерфейси дроп. махаш резет джиджавк

dinko44
dinko44

колега, залагаш ли 5 бона, че ТПлинк не могат да се хакват

Posted Images

ефект Apprentice

ефект

Отговорено
Отговорено

Ето го обяснението. всеки който има отключена мрежа и уеб го грози заплаха.

All cheers for my good friend, he found this worm inside his routers and i would like to share it with you :)

how exactly virus work?

It must be said that the worm uses a combination of two errors creators firmware for the device. The first mistake is that in these versions of firmware for the device exists page / admin.cgi, which is of course protected by a password for the device setup, but allows uploading files to devices or brazen command execution as root via the web interface. This page from the production firmware I would definitely launched. The second mistake is the wrong set of proprietary configuration AirOS module for lighttpd web server that allows for entering a few characters per display URL of any site configuration without knowing the password.

The few characters you can find in the attached file with a virus skynet.tgz and deliberately not placed directly in the article.

With these two errors is the possibility of the virus is easily spread without breaking complex passwords, etc., in essence, a test IP address for a few seconds and tries to cycle through more and more.

What causes the virus?

obviously self-reproduction

trapped by the login cookie to the device and the communication of the virus author

listening to network traffic and identifying slogans on port 80, and their communication to the author of the virus

Among other things, the virus causes random restarts the device, probably the exhaustion of free memory.

Requirements:

Devices from Ubiquiti (NanoStation, locostation, etc.)

AirOS firmware version 3.6.1, 4.x and 5.x, including the current versions - firmware uses GNU / Linux

additional requirement is a web interface running on port 80

If you want to experiment, you can download virus (skynet.tgz) HERE

Here's how to get him into the device (and activate), without knowing the password. Experiment at your own risk!

The display device UBNT

Code:

http://ip.ad.re.ss/admiin.cgi/..gif

upload file skynet.tgz

Code:

mv /tmpp/upload/skynet.tgz /etc/persistent/

cd /etc/persistent/; tar-xvzf /etc/persistent/skynet.tgz

/etc/persistent/.skynet/instal

The device will then reboot and the virus begins to spread.

  • Харесай 1

няма начин да няма начин

Адрес на коментара
Сподели в други сайтове
master Community Regular

master

Отговорено
Отговорено

Това важи ли ако е заключено и по мак т.е. опцията mac acl ? Имам предвид единствено при атака по wifi. То за атака по лан е просто не мислимо.

Analog Audio™

Адрес на коментара
Сподели в други сайтове
master Community Regular

master

Отговорено
Отговорено

E да то е ясно, че се сменя :) Ами по лан трябва да има физически достъп до някой суич. А идва и другия проблем със ниските скорости при включване на защитата.

Analog Audio™

Адрес на коментара
Сподели в други сайтове
bobo Новак

bobo

Отговорено
Отговорено

Ти остави вируса намира .

Проблема е дупката в уеб интерфейса.

От тая дупка сега както мога да кача фаил в темп и после да си стартирам да речем firmwareupdate от конзола (веба)без да ти знам паролата мога да ти оправя устроиството за секунди . Взимам SDK и си билдвам един хубав фирмваре дето за бооллоадер и еепром дата и останалите партитиции си има за съдържание FFFFFFF което лесно му се смята CRC и готово . Получаваме скрап за секунди .

Тая тема взе да става като Manual за бъдещи терористи на устройства така че нека модераторите на форума се замислят дали това съдържание да остане публично.

Лек ден от мен.

Адрес на коментара
Сподели в други сайтове
panevdd Новак

panevdd

Отговорено
Отговорено

...

Това трябва да е оригинала - Virus v bezdrátových routerech - Skynet

Доколкото виждам, вируса "подслушва" мрежовия трафик и изпраща събраната информация на автора си, т. е., след като дадена мрежа е била заразена веднъж, тя си остава уязвима докато не се променят настройките на всички устройства в нея - портове, имена, пароли...

Интересно дали автора на вируса има възможност да проникне в други части на мрежата, например в управляем switch или сървър.

Адрес на коментара
Сподели в други сайтове
magnate Новак

magnate

Отговорено
Отговорено

Извинявам се но нямам много време, затрупан съм от работа и ако може някой само да ми каже в кой файл мога да си запиша команди, който след reboot да не се затрият :) т.е. startup файл, който не се изтрива след рестартиране и се изпълнява при зареждане ?

Адрес на коментара
Сподели в други сайтове
Vesuvius Streamline Apprentice

Vesuvius Streamline

Отговорено
Отговорено (Редактирано)

Относно защитата, от Убикуити изпратиха следният имейл:

we are investigating flash dumps you sent to us and trying to get as much information as possible. In mean time can you contact with every your customer and ask them to take these actions to protect their network and their business:

- check if ALL devices are upgraded to v5.3.5 or v5.5 airOS versions

- rescan ALL devices from Skynet virus using Skynet removal tool (even if it doesn't detect Skynet, it should report about custom scripts, which may do some unauthorized actions on devices)

- if any of devices will have custom scripts, but WISP isn't aware about them, please ask them to take Support Info files from such devices and send to you (later you will forward them to us) before disabling/removing them using Skynet removal tool

- upgrade as much as possible devices to the v5.5.1-utest firmware (it is exact v5.5 with additionally added u-boot protection and disabled custom scripts what should prevent from any unauthorized actions on device). It would prevent from future damages in their networks if someone will gain access and install new virus.

- change passwords on ALL devices (if possible, don't use the same login details on ALL devices). If running virus did got an entered password it could be reused later to get access to devices already running safe airOS version.

- keep monitoring their devices in AirControl server, to see if any of devices will be upgraded to a 3rd party firmware if bad guy is getting physical access to the radio and installing vulnerable firmware via TFTP recovery mode.

Please keep us updated about rumors you will find out in local forums if someone will start talking about new exploit or how they gain access to the devices.

Ето и линк към фърмуеара 5.5.1 - http://www.vesuviustreamline.com/files/_ubnt_/XM.v5.5.1-utest.12807.120503.1205.bin

Редактирано от Vesuvius Streamline
  • Харесай 1

Mikrotik & Ubiquiti Networks Distributor.

Antennas Manufacturer.

Online Sales of Wireless Equipment.

Wireless Services & Solutions.

Адрес на коментара
Сподели в други сайтове
magnate Новак

magnate

Отговорено
Отговорено (Редактирано)

Благодаря ти .. мисля, че за сега се справих с проблема:

XM.v5.3.5

echo 'insmod /lib/modules/2.6.15-5.2/ip_tables.ko

insmod /lib/modules/2.6.15-5.2/ipt_REJECT.ko

insmod /lib/modules/2.6.15-5.2/iptable_filter.ko

iptables -I INPUT -p TCP -s 0.0.0.0/0 --destination-port 22 -j DROP

iptables -I INPUT -p TCP -s remote_ip/32 --destination-port 22 -j ACCEPT

iptables -I INPUT -p TCP -s 0.0.0.0/0 --destination-port 80 -j DROP

iptables -I INPUT -p TCP -s remote_ip/32 --destination-port 80 -j ACCEPT' >/etc/persistent/rc.poststart

/sbin/cfgmtd -p /etc/ -w

reboot

#Аз така проверявам за вируса.

find / -name *skyn*

find / -name *tgz

И сега какво излиза, че новият firmware ще ни предпази и няма смисъл от други трикове ? Не бих сложил firmware ако не е от сайта на производителя .. от къде да знам какви са тези външни :)

Ако искате да заключите и remote_ip от което менажирате устройствата може да се добави ип-то+мака в арп-таблицата на устройството. Може да се добавят и 2-3 ип-та от който да има достъп до устройствата :)

Редактирано от magnate
Адрес на коментара
Сподели в други сайтове
Mile Новобранец

Mile

Отговорено
Отговорено

полезно е да има подобни истории. лично аз никога не съм защитавал особено бриджове, но са във vlan mng и сравнително идиотски могат да се достъпват. ubnt по обичая на mikrotik деградират откъм hardware и soft със същата скорост. Уви все още имам 10-тина линка с подобни идиотщини.

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
 Сподели
Върнете се назад

  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.

  I accept