Bem-vindo à Comunidade UBNT

Virus em Versão 6.0.4

Boa tarde! Venho enfrentando muito problema com os equipamentos em minha rede principalmente na versão 6.0.4. Existem alguns em outras versões, mas a grande maioria está nessa. Os clientes normalmente reclamam de lentidão e quedas na conexão. Na maioria dos casos esses equipmanentos reiniciam pontualmente a cada 12 horas. A pouco tempo, fiz atualização em mais de 100 equipamentos, pras versões 6.1.8 e 6.1.9. E normalmente, após as atualizações desativei os acessos via ssh e telnet. Outra característica é que muitos desses aparelhos tinham as portas de ssh e telnet modificadas para 50122 e 50123. De repente um número significativo desses equipamentos começou a parar de responder pela interface de rede após a tentativa de atualização, ou seja, ficaram inoperantes. E agora depois de alguns dias em que as coisas pareciam acalmar, todos esses equipamentos que tinha atualizado simplesmente voltaram para a versão 6.0.4. Então, tenho basicamente 3 questões: 1) como fazer pra limpar esses equipamentos e atualizar de forma segura sem correr o risco de perdê-los, de ficarem inoperantes; 2) Se eu coloco ip frio num equipamento desses eu corto a ação do worm? 3) Tem alguma forma de recuperar esses equipamentos que perderam o acesso pela LAN? Já devo ter mais de 20 assim.
Rotulado:
kribeirojordano_ferrari

Comentários

  • @pliniogaldino
    Boa noite. Tem uma versão "falsa" 6.0.4 que é ativado nesses equipamentos. Da uma olhada aqui em umas discussões pra trás que vai ver o que foi falado. Acredito que no ano passado. Mas enfim, eu trabalho em campo e prefiro descer o rádio, fazer o envio do firmware via TFTP( no caso aqui utilizo o 6.1.8). Acredito ser a forma mas eficaz.
    Agora como boas práticas que uso e aqui ajudou muito...
    1º Utilizar senhas complexas (utilize números, caracteres especiais, letras maiúsculas, etc.);
    2° Troque as portas de acesso do rádio(SSH,WEB,Telnet e etc.);
    3° Desabilite a opção de Auto Update do CPE.;
    4° Bloqueie no seu roteador de borda a porta UDP 10001.
    renanpablo
  • 1º Esses clientes tem IP válido ?
    -Não é tanto antiga mas já esta bem atualizado esse firmware, já vi casa em que tinha problemas de atualizar um equipamento porque a diferença de versões era muito grande de um para outro, resolvido atualizando gradativamente (Não acho que seja seu caso)
    -Como guilherme1991 falou, utilize senhas complexas e troque também o usuário de acesso padrão "ubnt"
    -Aqui mantenho o serviço telnet desativado, apenas com o ssh como porta padrão, maioria dos clientes estão com nat, então no log não tenho tentativas de acesso, já nos com ip válido as vezes apenas monitoro as tentativas, que raramente acontece, o ideal é mudar a porta mesmo, uma camada a mais de segurança
    -Se eu não me engano o software aircontrol consegue atualizar todos de uma só vez, mas no teu caso eu faria manualmente, como já fiz até padronizar tudo, assim da pra ter ideia melhor da rede como um "todo"
    -A respeito da porta LAN, eu não entendi direito. Você consegue fazer um teste de ping e funciona ? o que não consegue é acessar a interface pelo navegador (porta 80 não alterou esse né) ? Lembrando que os firmwares mais atuais não sei porque algumas antenas depois de atualizar perdiam acesso por ativarem sozinhas a opção block management access (nesse caso somente indo no cliente via cabo para acessar)
    -Ainda quanto a perca de acesso, nem se resetar consegue ?
    Só por curiosidade porque eles reiniciam as 12:00 ? Não entendi no contexto se essa era uma duvida/reclamação sua
  • mychaeldsmychaelds 0 Pontos
    Bom dia pessoal, também estamos com o mesmo problema. Desativamos o acesso telnet e mudamos as portas padrão para Web/SSH. Aproximadamente dois dias após a atualização, o equipamento reinicia, voltando para a versão 6.0.4 e também com as portas 50122 e 50123. Em nossa rede utilizamos IPs válidos em todos os equipamentos.
    Alguma ideia do que pode causar este problema?
  • UI-JallesUI-Jalles 146 Pontos
    A recomendação é restringir qualquer acesso externo e sempre manter o firmware dos equipamentos atualizados. 

    Esse tipo de vírus tem como alvo equipamentos desatualizados e com senhas fracas expostos a internet. 
    jordano_ferrari
  • mychaeldsmychaelds 0 Pontos
    A recomendação é restringir qualquer acesso externo e sempre manter o firmware dos equipamentos atualizados. 

    Esse tipo de vírus tem como alvo equipamentos desatualizados e com senhas fracas expostos a internet. 
    Obrigado pelo retorno meu caro!
    Mas a situação ocorre mesmo depois de atualizar o firmware para a versão mais recente (6.1.9). Não utilizamos portas de acesso padrão e usuário/senha possuem senhas fortes. 
  • renanpablo disse:
    1º Esses clientes tem IP válido ?
    -Não é tanto antiga mas já esta bem atualizado esse firmware, já vi casa em que tinha problemas de atualizar um equipamento porque a diferença de versões era muito grande de um para outro, resolvido atualizando gradativamente (Não acho que seja seu caso)
    -Como guilherme1991 falou, utilize senhas complexas e troque também o usuário de acesso padrão "ubnt"
    -Aqui mantenho o serviço telnet desativado, apenas com o ssh como porta padrão, maioria dos clientes estão com nat, então no log não tenho tentativas de acesso, já nos com ip válido as vezes apenas monitoro as tentativas, que raramente acontece, o ideal é mudar a porta mesmo, uma camada a mais de segurança
    -Se eu não me engano o software aircontrol consegue atualizar todos de uma só vez, mas no teu caso eu faria manualmente, como já fiz até padronizar tudo, assim da pra ter ideia melhor da rede como um "todo"
    -A respeito da porta LAN, eu não entendi direito. Você consegue fazer um teste de ping e funciona ? o que não consegue é acessar a interface pelo navegador (porta 80 não alterou esse né) ? Lembrando que os firmwares mais atuais não sei porque algumas antenas depois de atualizar perdiam acesso por ativarem sozinhas a opção block management access (nesse caso somente indo no cliente via cabo para acessar)
    -Ainda quanto a perca de acesso, nem se resetar consegue ?
    Só por curiosidade porque eles reiniciam as 12:00 ? Não entendi no contexto se essa era uma duvida/reclamação sua
    1 - Sim, todos meus clientes tem ip válido;
    2 - Nunca usamos o usuário e senha padrão;
    3 - Estou bloqueando o acesso as portas padrões do Nano, permitindo apenas aos ips de minha rede onde gerencio acesso nos equipamentos a partir de agora;
    4 - Tenho desabilitado nos clientes os serviços de ssh e Telnet;
    5 - Sobre a porta Lan, sim, em alguns casos pinga mas não abre a interface web. Em outros dá 10Mbts na eth;
    6 - Sim, esse bloqueio pra acesso externo estamos cientes de que em algumas versões vem ativados por padrão;
    7 - Só resetando não resolve a perda de acesso, mas desenvolvi um roteiro agora em que recuperei mais de 30 rádios utilizando TFTP (vou fazer uma outra postagem logo a seguir pra não ficar muito longo);
    8 - Na verdade ele não reinicia às 12:00hs, e sim num intervalo de tempo que não fixo de 12 horas. Se entro no relatório de conexões dos clientes, ele tem várias conexões de pppoe com 11:59:55 por dias seguidos. Cheguei a marcar os horários e acompanhar alguns equipamentos, e todos os que acompanhei reiniciavam após 12:00:17 de uptime. Muito estranho, não sei exato a explicação técnica, mas é um sintoma da contaminação.
  • mychaelds disse:
    Bom dia pessoal, também estamos com o mesmo problema. Desativamos o acesso telnet e mudamos as portas padrão para Web/SSH. Aproximadamente dois dias após a atualização, o equipamento reinicia, voltando para a versão 6.0.4 e também com as portas 50122 e 50123. Em nossa rede utilizamos IPs válidos em todos os equipamentos.
    Alguma ideia do que pode causar este problema?
    Boa noite! Passei por isso aqui também. Fiz muitas atualizações e todos voltaram depois a essas versões contaminadas. Felizmente, descobri o caminho das pedras, e desenvolvi um roteiro padrão de recuperação e limpeza desses equipamentos. Vamos lá:

    1- Pra evitar problemas futuros bloqueei acesso nas portas 80, 443, 22, 23, 50122 e 50123, de qualquer ip (dentro ou fora de minha rede). Fiz uma lista de exceção com os ips de meu escritório, minha casa e da casa de um técnico;
    2 - Aqui começa o trabalho mais pesado, mas não tem escapatória... No caso dos clientes em que temos esses problemas com o equipamento em produção, o técnico vai até lá com uma fonte poe que tenha o botão de reset. Liga o cabo que vem do rádio direto no notebook. Reseta o rádio com a fonte Poe até entrar em modo TFTP.
    - Para ter certeza que o rádio está em modo TFTP sem descer ele, uso a seguinte checagem: Ligamos o Poe com o botão reset da fonte já pressionado e aguardamos 5 segundos. Após esse tempo normalmente a interface estará respondendo no ip 192.168.1.20 com TTL=128.
    - Nesse momento só enviar o firmware atualizado (estou usando 6.1.9) pelo software tftp.
    3 - Após cerca de 2 minutos, o rádio voltará a responder no ip 192.168.1.20 com o TTL=64
    4 - Após cerca de mais 2 minutos, conseguirá abrir a interface pelo navegador, já com firmware atualizado, e usuário e senha padrão.
    5 - Nesse momento, a primeira coisa que faço é modicar o usuário e a senha para um outro que nunca foi usado em minha rede, pois rádio infectados na rede com a mesma senha, podem voltar a infectar seu equipamento atualizado.
    6 - Feito isso, o equipamento está pronto pra uso novamente. Tivemos casos de clientes que não abriam determinados sites e normalizou tudo depois.
    Fiz isso também em minha loja, com vários equipamentos que tinham parado de responder após tentativas de atualizações remotas e já dava essas unidades como perdidas. Recuperei em 2 dias 30 Nano Loco M5. Vou enviar uma foto em anexo...rs.
    Espero ter ajudado um pouco. E estou a disposição pra qualquer outra dúvida ao meu alcance.
  • kribeirokribeiro 0 Pontos
    Boa tarde amigos, alguma novidade referente ao problema do vírus dessa versão 6.0.4, estou tendo o mesmo problema que os amigos, tive varias reclamações de lentidão e queda, após verificar notei essa versão nas UBNT´s, estranho que minha rede estava toda atualizado com as ultimas versões 6.1.8 e 6.1.9, agora notei que minha rede esta toda na versão 6.0.4, não há nada que eu possa fazer que o downgrade acontece, voltando para a V6.0.4.
  • @kribeiro , tirou o auto Update dos rádios? Seguiu todos os procedimentos acima?
  • Estou tendo o mesmo problema em nosso provedor, somente atualização do firmware não resolveu(retornava a dar downgrade para 6.0.4), com a troca de senha de acesso foi possível solucionar pelo menos por enquanto o problema

    Como consigo fazer uma varredura nos arquivos dos rádios que foram afetados, para que possa verificar se há um "worm" que possa ter se espalhado nos outros rádios da rede? E possa trazer problemas posteriores. 
Entre ou Registre-se para fazer um comentário.