Заметил однажды распространение вируса/эксплоита в сети с устройствами Ubiquiti. Эксплоит используя уязвимость в старых версиях прошивок копировал себя на другие устройства и с них же атаковал следующие.
Под атаку в моем случае попались устройства airMAX M с прошивками ниже 5.6.2 XM/XW и включенным http/https смотрящим наружу.
Эксплоит сохраняется в /etc/persistant, создает поддиректорию .mf и файл mf.tar, а также использует rc.poststart
Пароль пользователя изменялся на случайно генерированный, но также можно было войти используя логин эксплоита moth3r и пароль fuck.3r либо fucker.
Посмотреть сгенерированный пароль можно командой ниже, однако позже он все равно менялся:
grep -E "users|sshd.auth.key" /tmp/system.cfg
Для удаления необходимо подключиться к устройству через SSH и выполнить следующие команды:
rm -fr /etc/persistent/rc.* /etc/persistent/profile
cfgmtd -w; reboot -f
После этих команд, логин и пароль вернется на прежний, а также необходимо сразу обновить прошивку устройства иначе возможно повторное заражение.
Также есть официальная лечащая утилита написанная на JAVA, скачать её можно тут:
https://www.ui.com/downloads/XN-fw-internal/tools/ubnt-CureMalware.zip
Она умеет сканировать указанную сеть, удалять эксплоит и обновлять прошивку.
Смотрите также мою статью:
Ограничение доступа к Ubiquiti по IP используя Firewall