标签:服务 查看 ESXi slpd ESXiArgs 点击 ssh 勒索 是否
摘要
今天查看深信服科技的公众号
发现有一个ESXiArgs 的勒索软件.
感觉对公司存在一定的风险.但是感觉操作手册有点简单.
这里想着写全面一点. 作为操作手册使用.
并且深信服仅是解决了在运行, 没有将服务设置为开机不启动.
不过感谢原作者提供的知识.
漏洞原理
攻击 slpd服务.
缓解的办法及时将这个服务停止掉
服务使用的端口为 427
关于slp协议:
SLP:服务定位协议 (SLP:Service Location Protocol)
服务定位协议(SLP)为网络服务的发现和选择提供一种可扩展构架。
通过此协议,使用 Internet 服务的计算机不再需要那么多为网络应用程序服务的静态配置。
这对于便携式电脑或性急的或无法满足网络系统管理需求的用户来说尤其重要。
判断是否存在风险
telnet 10.110.xxx.xx 427
验证是否连通, 如果连通则存在安全风险
我这边验证. 有
1,5,11,17,25,27,33
机器的端口可以联通.
需要注意这个服务 需要在命令行内进行关闭和启动.
无法通过控制台进行处理.
打开ssh服务-6.0
打开vCenter->点击host宿主机->
右侧面板点击配置->点击右侧区域的左侧树形结果中的<系统>
点击服务->选中ssh,启用服务.
注意 在右侧面板的第一个CPU选项.点击可以看到序列号信息
可以用于维修等处理.
打开ssh服务-6.5
打开vCenter->点击host宿主机->
右侧面板点击配置->点击下方的安全配置文件->
点击服务->打开ssh,启用服务.
停止危险服务
/etc/init.d/slpd status
# 查看服务是否运行
/etc/init.d/slpd stop
# 关闭服务
chkconfig slpd
# 查看是否开机启动
chkconfig slpd off
# 关闭开机启动
# 注意 其实应该最后检查一下两项:
chkconfig slpd
/etc/init.d/slpd status
验证是否存在风险
1. 查看目录:/store/packages
下面是否存在 vmtools.py相关文件
2. 查看目录:/tmp
是否存在 encrypt motd index.html等文件.
ls /store/packages |grep vmtool
ls /tmp |grep -E "encrypt|motd|index"
如果如上两个命令没有返回 则问题不大.
标签:服务,
查看,
ESXi,
slpd,
ESXiArgs,
点击,
ssh,
勒索,
是否
From: https://www.cnblogs.com/jinanxiaolaohu/p/17103447.html