凡是用HP Gen8做黑群的,即刻升级ILO版本到2.61 非常重要
今天在CHH看到一个帖子描述Gen8被黑了,发现的时候iLO管理员密码被改无法登录,Windows管理员密码被改无法登录,Windows内的Debian虚拟机直接被干掉(虚拟机文件被加密)。
事后检查发现是被感染了GANDCRAB V4病毒,SSD系统盘上两个分区已经完全被加密(除了Windows和虚拟磁盘文件没有重要文件),不幸中的大幸是仓库盘上只有大约50G的美剧被加密,照片、文档都没有问题,从Debian虚拟机共享的文件有没有被加密,另一个备份NAS上共享的文件也没有被加密。
基本过程:
[*]用系统管理员登录,创建用户bu9eRiwa
[*]用此用户远程登录打开Remote Console,用脚本挂载虚拟媒体镜像,远程登录地址是hosted-by.euservr.com提供的VPS
[*]重启Server(估计病毒就是在这个过程中感染系统的),删除iLO内置的Administrator管理员
[*]后面多次重启系统,不知道是什么操作
[*]最后,还把服务器从HP Insight Online注销,大概是为了避免有警告消息发给管理员,给病毒争取时间进行文件加密?
另外,被删除的hphp和hphp3两个用户也是被黑了添加进来的,查了一下日志,发现是2018-08-11添加的,说明早就被盯上了。
整个流程上设计非常险恶,iLO管理员被删、Windows管理员密码被修改,绝对会推迟发现问题的时间,一切的设计都是为了给勒索病毒争取时间进行加密。
Google了一下,这种感染方式几个月前就有了:https://sensorstechforum.com/500 ... ces-hit-ransomware/,其中利用到了两个漏洞CVE-2013-4786和CVE-2017-12542,HP官方网站上最后更新日期分别是2018-06-13和2018-05-08,iLO升级到最新的2.61(最新的SSP包中是2.60,2018-08-06提供了单独的2.61下载)应该可以解决这两个漏洞。
-----------------------------
看到这篇帖子后我登录了我的GEN8的ILO 结果发现居然也中招了...
连增加的超级用户名字都一样,万幸的是我是直接用GEN8做的黑群,并且开了两步验证所以文件没有被加密。从日志上来看已经被黑几个月...添加管理员的IP是俄罗斯的...
吓的我赶紧删除新增的管理员账户后再升级ILO版本。
ILO 2.61下载地址
https://support.hpe.com/hpsc/swd/public/detail?swItemId=MTX_fa40c1bfdb924daf87a10fa810
文件名:CP036949.scexe (13 MB)
下载的文件需要winrar5.6解压两次,然后在ilo里直接升级解压后扩展名是.bin的文件。
因为是用漏洞登录的,所以管理员密码设置的再复杂也没用,我主要是修改了默认管理员的名称所以内置的管理员账户没有被删除,不然还要好一番折腾。
当然没有做ILO端口映射的应该不受影响,但是升级下总归没有坏处的。
自从做了黑群没再插ilo口 stargazer 发表于 2018-11-21 21:42
自从做了黑群没再插ilo口
不做端口映射也是没问题的,ILO口可以和一个网口共用啊,如果你设置了不插一样可以访问,不过看样子你的应该没映射到外网。不过升级一下完全没坏处,几分钟的事而且不影响黑群运行 表示没看懂啥意思,没有GEN8 感谢分享 感谢LZ分享,还以为这种嵌入式系统安全性会高一些。赶紧升级了。
另外,iLO目前最新的时 2.61(b) :https://support.hpe.com/hpsc/swd/public/detail?sp4ts.oid=1009143853&swItemId=MTX_9ec0af96264647e8bb73fbae9b&swEnvOid=4184#tab-history
现在最新的是ssp2018.11.我是整体升级了这个包。 感谢分享 已经升级! 这么蛋疼?
马上看一下自己的机器 请问大神,升级后是不是ahci模式下,风扇还是噪音很大? cam2bridge 发表于 2020-8-16 16:32
请问大神,升级后是不是ahci模式下,风扇还是噪音很大?
早就不大了,一直用的ahci模式,几乎听不到风扇声音
页:
[1]