Mudanças entre as edições de "Correção virus Mikrotik invadidos: sysadminpxy"

Linha 3: Linha 3:
 
Para a remoção, siga os seguintes passos:
 
Para a remoção, siga os seguintes passos:
  
Acesse o seu Mikrotik através do aplicativo Winbox:[[Arquivo:Captura de Tela 2018-07-30 às 11.32.36.png|517x517px|centro|semmoldura]]Vá em ao menu '''IP > Firewall:'''[[Arquivo:Ip-firewall.png|690x690px|centro|semmoldura]]
+
Acesse o seu Mikrotik através do aplicativo '''Winbox:'''
 +
 
 +
[[Arquivo:Captura de Tela 2018-07-30 às 11.32.36.png|517x517px|centro|semmoldura]]
 +
 
 +
Vá em ao menu '''IP > Firewall:'''
 +
 
 +
[[Arquivo:Ip-firewall.png|690x690px|centro|semmoldura]]
  
 
Na aba Filter Rules IP > Firewall > '''Filter Rules:'''
 
Na aba Filter Rules IP > Firewall > '''Filter Rules:'''
[[Arquivo:Captura de Tela 2018-07-30 às 11.01.40.png|690x690px|centro|semmoldura]]Em '''Filter Rules,''' removam o filtro criado com o nome (sysadminproxi).<!-- Em alguns casos nessa mesma aba (FILTER RULES) o SYSADMINPXY pode desabilitar os filtros usados.
+
 
  -->
+
[[Arquivo:Captura de Tela 2018-07-30 às 11.01.40.png|690x690px|centro|semmoldura]]Em '''Filter Rules,''' removam o filtro criado com o nome (sysadminproxi).
  
 
Na aba Filter Rules IP > Firewall > '''NAT:'''
 
Na aba Filter Rules IP > Firewall > '''NAT:'''
  
 
[[Arquivo:Captura de Tela 2018-07-30 às 10.58.44.png|centro|semmoldura|690x690px]]
 
[[Arquivo:Captura de Tela 2018-07-30 às 10.58.44.png|centro|semmoldura|690x690px]]
Em '''NAT,''' removam o direcionamento criado com o nome (sysadminproxi).<!-- Regras que criam um direcionamento para um proxy externo e da porta 8080
+
Em '''NAT,''' removam o direcionamento criado com o nome ('''sysadminproxi''').
 
  -->
 
  
 
Na aba Filter Rules IP > Firewall > '''Address Lists:'''
 
Na aba Filter Rules IP > Firewall > '''Address Lists:'''
 +
 
[[Arquivo:Captura de Tela 2018-07-30 às 11.12.13.png|centro|semmoldura|690x690px]]
 
[[Arquivo:Captura de Tela 2018-07-30 às 11.12.13.png|centro|semmoldura|690x690px]]
  
 
Em '''Address Lists,''' o '''(sysadminpxy)''' cria esses Address Lists para permissão dos IPS na coluna '''Address''', removam o todos criado com o nome '''(OK)''' na coluna '''Name.'''
 
Em '''Address Lists,''' o '''(sysadminpxy)''' cria esses Address Lists para permissão dos IPS na coluna '''Address''', removam o todos criado com o nome '''(OK)''' na coluna '''Name.'''
  
Em  '''IP > Web Proxy:'''[[Arquivo:Captura de Tela 2018-07-30 às 11.05.21.png|centro|semmoldura|690x690px]]
+
Em  '''IP > Web Proxy:'''
 +
 
 +
[[Arquivo:Captura de Tela 2018-07-30 às 11.05.21.png|centro|semmoldura|690x690px]]
 +
 
 +
Na aba '''General''' desabilite a opção '''Enabled''' pois o '''(sysadminpxy)''' o habilita.
 +
Se você utiliza o Web Proxy, desconsidere a opção de desabilita-la.
 +
[[Arquivo:Captura de Tela 2018-07-30 às 11.04.49.png|centro|semmoldura|649x649px]]Em  '''System > Users:'''
 +
 
 +
[[Arquivo:Captura de Tela 2018-07-30 às 10.28.33.png|centro|semmoldura|690x690px]]
  
Na aba '''General''' desabilite a opção '''Enabled''' pois o '''(sysadminpxy)''' o habilita. <!-- Se você utiliza o Web Proxy, desconsidere a opção de desabilita-la, mais analise as informações anteriores. -->
 
[[Arquivo:Captura de Tela 2018-07-30 às 11.04.49.png|centro|semmoldura|649x649px]]Em  '''System > Users:'''[[Arquivo:Captura de Tela 2018-07-30 às 10.28.33.png|centro|semmoldura|690x690px]]
 
 
Na aba '''Users''' removam o User criado com o nome '''ftpgroupe.'''
 
Na aba '''Users''' removam o User criado com o nome '''ftpgroupe.'''
 +
 
[[Arquivo:Captura de Tela 2018-07-30 às 10.55.00.png|centro|semmoldura|690x690px]]
 
[[Arquivo:Captura de Tela 2018-07-30 às 10.55.00.png|centro|semmoldura|690x690px]]
  
 
Em  '''System > Scheduler:'''
 
Em  '''System > Scheduler:'''
[[Arquivo:Captura de Tela 2018-07-30 às 14.10.42.png|centro|semmoldura|690x690px]]Em '''Scheduler''' removam a tarefa criada com o nome '''Schedeler3_ .'''
+
 
 +
[[Arquivo:Captura de Tela 2018-07-30 às 14.10.42.png|centro|semmoldura|690x690px]]
 +
 
 +
Em '''Scheduler''' removam a tarefa criada com o nome '''Schedeler3_ .'''
 +
 
 
[[Arquivo:Captura de Tela 2018-07-30 às 15.24.05.png|centro|semmoldura]]
 
[[Arquivo:Captura de Tela 2018-07-30 às 15.24.05.png|centro|semmoldura]]
  
 
Em  '''System > Scrpts:'''
 
Em  '''System > Scrpts:'''
 +
 
[[Arquivo:Captura de Tela 2018-07-30 às 14.10.28.png|centro|semmoldura|690x690px]]
 
[[Arquivo:Captura de Tela 2018-07-30 às 14.10.28.png|centro|semmoldura|690x690px]]
 +
 
Em '''Scripts''' removam o '''Script''' criado com o nome '''Script3_ .'''
 
Em '''Scripts''' removam o '''Script''' criado com o nome '''Script3_ .'''
 +
 
[[Arquivo:Captura de Tela 2018-07-30 às 15.24.26.png|centro|semmoldura]]
 
[[Arquivo:Captura de Tela 2018-07-30 às 15.24.26.png|centro|semmoldura]]
  
 
Em  '''Files >''' Tambem remover o arquivo com o nome '''mikrotik.php''' ''':'''
 
Em  '''Files >''' Tambem remover o arquivo com o nome '''mikrotik.php''' ''':'''
 +
 
[[Arquivo:Captura de Tela 2018-07-30 às 13.43.09.png|centro|semmoldura|690x690px]]
 
[[Arquivo:Captura de Tela 2018-07-30 às 13.43.09.png|centro|semmoldura|690x690px]]
 +
ATENÇÃO!!! Recomendo que faça a atualização de seu equipamento e em seguida  altere seu User e password, e façam também  uma analise completa em seu Mikrotik, removendo qualquer anomalia que não foi feita por um usuário autorizado.

Edição das 22h20min de 30 de julho de 2018

O virus (sysadminpxy) tem o intuito geral dessas alterações que o código faz, é gerar maquinas escravas de um processo de mineração de criptomoedas.

Para a remoção, siga os seguintes passos:

Acesse o seu Mikrotik através do aplicativo Winbox:

Captura de Tela 2018-07-30 às 11.32.36.png

Vá em ao menu IP > Firewall:

Ip-firewall.png

Na aba Filter Rules IP > Firewall > Filter Rules:

Captura de Tela 2018-07-30 às 11.01.40.png

Em Filter Rules, removam o filtro criado com o nome (sysadminproxi).

Na aba Filter Rules IP > Firewall > NAT:

Captura de Tela 2018-07-30 às 10.58.44.png

Em NAT, removam o direcionamento criado com o nome (sysadminproxi).

Na aba Filter Rules IP > Firewall > Address Lists:

Captura de Tela 2018-07-30 às 11.12.13.png

Em Address Lists, o (sysadminpxy) cria esses Address Lists para permissão dos IPS na coluna Address, removam o todos criado com o nome (OK) na coluna Name.

Em  IP > Web Proxy:

Captura de Tela 2018-07-30 às 11.05.21.png

Na aba General desabilite a opção Enabled pois o (sysadminpxy) o habilita.

Se você utiliza o Web Proxy, desconsidere a opção de desabilita-la.
Captura de Tela 2018-07-30 às 11.04.49.png

Em  System > Users:

Captura de Tela 2018-07-30 às 10.28.33.png

Na aba Users removam o User criado com o nome ftpgroupe.

Captura de Tela 2018-07-30 às 10.55.00.png

Em  System > Scheduler:

Captura de Tela 2018-07-30 às 14.10.42.png

Em Scheduler removam a tarefa criada com o nome Schedeler3_ .

Captura de Tela 2018-07-30 às 15.24.05.png

Em  System > Scrpts:

Captura de Tela 2018-07-30 às 14.10.28.png

Em Scripts removam o Script criado com o nome Script3_ .

Captura de Tela 2018-07-30 às 15.24.26.png

Em  Files > Tambem remover o arquivo com o nome mikrotik.php :

Captura de Tela 2018-07-30 às 13.43.09.png
ATENÇÃO!!! Recomendo que faça a atualização de seu equipamento e em seguida  altere seu User e password, e façam também  uma analise completa em seu Mikrotik, removendo qualquer anomalia que não foi feita por um usuário autorizado.