vSphere 是 VMware 推出的虚拟化平台套件,包含 ESXi、vCenter Server 等一系列的软件。其中 vCenter Server 为 ESXi 的控制中心,可从单一控制点统一管理数据中心的所有 vSphere 主机和虚拟机。
vSphere Client(HTML5) 在 vCenter Server 插件中存在一个远程执行代码漏洞。未授权的攻击者可以通过开放 443 端口的服务器向 vCenter Server 发送精心构造的请求,写入webshell,控制服务器。
就是VMware套件有个Web管理界面,漏洞在一个未授权的上传接口,写入shell并执行命令。
VMware vCenter Server 7.0系列 < 7.0.U1c
VMware vCenter Server 6.7系列 < 6.7.U3l
VMware vCenter Server 6.5系列 < 6.5 U3n
VMware ESXi 7.0系列 < ESXi70U1c-17325551
VMware ESXi 6.7系列 < ESXi670-202102401-SG
VMware ESXi 6.5系列 < ESXi650-202102101-SG
RedAlert勒索病毒又称为N13V勒索病毒,是2022年一款新型勒索病毒,同年7月被首次曝光,主要针对Windows和Linux VMWare ESXi服务器进行加密攻击,到目前为止该勒索病毒黑客组织在其暗网网站上公布了一名受害者,同时该名受害者在其官网上也发布了被黑客攻击的信息,该名受害者企业正在与网络犯罪领域的专家进行取证和溯源工作,并发布了相关的公告。
勒索病毒是一种恶意程序,专门将本机与网路储存上的重要档案加密之后要求支付赎金才能解开档案。整体来讲,勒索病毒攻击分为六个阶段——初始入侵、持续驻留、内网渗透、命令控制、信息外泄、执行勒索。
勒索病毒难以根除的主要原因:一方面是,勒索病毒传播方式多样,传统网络安全防护技术无法完全覆盖;另一方面是,安全存储技术体系要求不够完善,数据存储层勒索防护措施应用不足。且随着网络安全体系的不断完善,勒索病毒也日益呈现出新特点:攻击对象日趋精准化、攻击主体日益专业化、攻击模式趋于多样化。
随着整体数据规模持续增长,面对日益猖狂的勒索病毒,各国各地区纷纷做出应对。我国国家互联网应急中心出台的《勒索软件防范指南》,从分类分级、密码设置等方面作出指导,提出了“要备份重要数据和系统。重要的文件、数据和业务系统要定期进行备份,并采取隔离措施,严格限制对备份设备和备份数据的访问权限,防止勒索软件横移对备份数据进行加密”的方向性要求。
作为抵御勒索病毒的最后一道防线,科学可靠的数据备份与业务系统容灾可以帮企业将可能会面临的风险系数降至最低,使其业务在遭到勒索软件攻击后能够迅速恢复,确保的数据可用性和业务连续性。
针对此次ESXi Args勒索事件,为广大用户提供了行之有效的VMware虚拟机备份解决方案,最大程度上保证用户数据安全运行。
1、 LAN-Free提升备份效率
备份软件在备份VMware时,不仅支持LAN-Based的备份数据传输链路,还提供包括搭建备份网络、通过SAN传输备份数据的LAN-Free模式,不会占用生产带宽与网络,备份速度更快,备份效率更高,且不会影响生产环境的正常运行。
常规加固:
1.默认情况下,ESXi Shell 接口和 SSH 接口处于停用状态。除非要执行故障排除或支持活动,否则这些接口应保持停用状态。对于日常活动,
请使用 vSphere Client或vcenter管控,使操作受制于基于角色的访问控制权限。
2.默认情况下,只有ESXI主机内部分防火墙端口处于打开状态,需明确打开与特定服务关联的防火墙端口作用。。
3.ESXi 仅运行管理其功或服务,要求只分发仅限于运行 ESXi 所需的功能。
4.默认情况下,弱密码是被停用,来自客户端的通信将通过 SSL 进行保护。用于保护通道安全的确切算法取决于 SSL 握手。
在 ESXi 上创建的默认证书会使用带有 RSA 加密的 PKCS#1 SHA-256 作为签名算法。ESXi 使用内部 Web 服务支持通过 Web Client 进行访问。
该服务已修改为只运行 Web Client 进行系统管理和监控所需的功能。
5、条件允许话请尽快对ESXI各版本补丁修复,因ESXI所涉及虚拟化主机较多,业务用途各异,修补过程中需重起设备。
6.所有ESXI主机不允许直接暴露到互联网上,理论上禁止接入互联网。
中招什么办:
攻击者加密后,会导致关键数据被损坏,虚拟机 (VM)处于关闭、无法连接状态,可能造成用户生产环境停线的严重后果;除了面临部分业务被中断,被攻击者还面临着2比特币左右的勒索赎金,给正常工作带来了极为严重的影响。
风险排查、紧急加固及处置建议
勒索风险自查
步骤一:检查/store/packages/目录下是否存在vmtools.py后门文件。如果存在,建议立即删除该文件。
步骤二:检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,如果存在,应及时删除。
勒索处置建议
步骤一:立即隔离受感染的服务器,进行断网;
步骤二:使用数据恢复工具恢复数据或重装ESXi
美国CISA发布了 ESXiArgs 勒索软件恢复脚本,相关链接如下:
https://github.com/cisagov/ESXiArgs-Recover
步骤三:重复“勒索风险自查”步骤;
步骤四:恢复修改后的部分文件
(1)查看/usr/lib/vmware目录下的index.html文件是否为勒索信,如果是,立即删除该文件。
(2)查看/etc/目录下是否存在motd文件,如果存在,立即删除。
漏洞自查
(1)查看ESXi的版本
方式1:登陆EXSi后台,点击帮助-关于,即可获取版本号。
方式2:访问EXSi终端,输入“vmware -vl”命令即可获取版本号。
(2)查看OpenSLP服务是否开启
访问EXSi终端,输入“chkconfig --list | grep slpd”命令即可查看OpenSLP服务是否开启。输出“slpd on”为开启,输出“slpd off”则代表未开启。
若ESXi版本在漏洞影响范围内,且OpenSLP服务开启,则可能受此漏洞影响。
漏洞加固
加固方案1:升级ESXi至如下版本
加固方案2:在ESXi中禁用OpenSLP服务
禁用OpenSLP属于临时解决方案,该临时解决方案存在一定风险,建议用户可根据业务系统特性审慎选择采用临时解决方案:
1、使用以下命令在ESXi 主机上停止SLP 服务:
/etc/init.d/slpd stop
2、运行以下命令以禁用SLP 服务且重启系统 后生效:
esxcli network firewall ruleset set -r CIMSLP -e 0
chkconfig slpd off
3、运行此命令检查禁用SLP 服务成功:
chkconfig --list | grep slpd
若输出slpd off 则禁用成功
停止SLP服务后,运行攻击脚本发现427端口已经关闭,漏洞无法进行利用。
我已经构建了一些serverspec代码来在多个主机上运行一组测试。问题是当任何测试失败时,测试会在当前主机停止。即使测试失败,我也希望它继续在所有主机上运行。Rakefile:namespace:specdotask:all=>hosts.map{|h|'spec:'+h.split('.')[0]}hosts.eachdo|host|begindesc"Runserverspecto#{host}"RSpec::Core::RakeTask.new(host)do|t|ENV['TARGET_HOST']=hostt.pattern="spec/cfengine3/*_spec.r
我有一个存储主机名的Ruby数组server_names。如果我打印出来,它看起来像这样:["hostname.abc.com","hostname2.abc.com","hostname3.abc.com"]相当标准。我想要做的是获取这些服务器的IP(可能将它们存储在另一个变量中)。看起来IPSocket类可以做到这一点,但我不确定如何使用IPSocket类遍历它。如果它只是尝试像这样打印出IP:server_names.eachdo|name|IPSocket::getaddress(name)pnameend它提示我没有提供服务器名称。这是语法问题还是我没有正确使用类?输出:ge
目录1.漏洞简介2、AJP13协议介绍Tomcat主要有两大功能:3.Tomcat远程文件包含漏洞分析4.漏洞复现 5、漏洞分析6.RCE实现的原理1.漏洞简介2020年2月20日,公开CNVD的漏洞公告中发现ApacheTomcat文件包含漏洞(CVE-2020-1938)。ApacheTomcat是Apache开源组织开发的用于处理HTTP服务的项目。ApacheTomcat服务器中被发现存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件。该漏洞是一个单独的文件包含漏洞,依赖于Tomcat的AJP(定向包协议)。AJP自身存在一定缺陷,导致存在可控
我正在使用DMOZ的listofurltopics,其中包含一些具有包含下划线的主机名的url。例如:608609TheOuterHeaven610InformationandimagegalleryofMcFarlane'sactionfiguresforTrigun,Akira,TenchiMuyoandotherJapaneseSci-Fianimations.611Top/Arts/Animation/Anime/Collectibles/Models_and_Figures/Action_Figures612虽然此url可以在网络浏览器中使用(或者至少在我的浏览器中可以使用:
我刚刚在我的Ubuntu9.10服务器上安装了TeamBox。我使用提供的服务器脚本在端口3000上启动并运行它。它的运行速度非常慢,从另一台计算机连接时每个HTTP请求最多需要30秒。我使用链接从shell加载TeamBox,一点也不花时间。然后我设置了一个SSH隧道,它再次运行得非常快。我通过此服务器上的apache以及SAMBA等运行了大约30个虚拟主机,没有任何问题。我该如何解决这个问题? 最佳答案 我的redmine(ruby,webrick)太慢了。现在我解决了这个问题:apt-getinstallmongrelruby
什么是0day漏洞?0day漏洞,是指已经被发现,但是还未被公开,同时官方还没有相关补丁的漏洞;通俗的讲,就是除了黑客,没人知道他的存在,其往往具有很大的突发性、破坏性、致命性。0day漏洞之所以称为0day,正是因为其补丁永远晚于攻击。所以攻击者利用0day漏洞攻击的成功率极高,往往可以达到目的并全身而退,而防守方却一无所知,只有在漏洞公布之后,才后知后觉,却为时已晚。“后知后觉、反应迟钝”就是当前安全防护面对0day攻击的真实写照!为了方便大家理解,中科三方为大家梳理当前安全防护模式下,一个漏洞从发现到解决的三个时间节点:T0:此时漏洞即0day漏洞,是已经被发现,还未被公开,官方还没有相
当我运行服务器并转到localhost:3000时,我收到此错误:ActiveRecord::ConnectionNotEstablishedNoconnectionpoolwithidprimaryfound.有问题的代码:activerecord(5.0.0)lib/active_record/connection_adapters/abstract/connection_pool.rb:874:in`retrieve_connection' 最佳答案 我会发表评论,但我缺乏声誉。反正这个错误有时候是sqlite版本导致的。我建
我正在尝试使用以下方法更新rubygems:gemupdate--system但是我得到了错误:ERROR:Whileexecutinggem...(Gem::RemoteFetcher::UnknownHostError)nosuchname(https://rubygems.org/specs.4.8.gz). 最佳答案 不确定您安装的是哪个版本的rubygems,但是可以通过三种方式修复:网络问题-稍后重试。您的版本已变砖无法更新,您需要以其他方式安装NOTE:RubyGems1.1and1.2haveproblems
我已经解决了标题中描述的错误的众多解决方案。ActionView::Template::Error(缺少要链接的主机!请提供:host参数,设置default_url_options[:host],或将:only_path设置为true):但是,该项目还修改了url_for函数以使用子域,如本railscast所示:http://railscasts.com/episodes/221-subdomains-in-rails-3因此,这个错误的传统答案,例如在我的环境设置中设置变量似乎不是解决方案。这里有一些其他的提示:这是一个全新的设置,我刚刚克隆了一个项目并安装了ruby、rai
三大公有云厂商,香港地区主机测评一、ping时延比对(厦门电信本地测试):Ping时延测试腾讯云阿里云华为云延迟率最低时延44ms,最高72ms,平均46ms47.242段:最低时延59ms,最高204ms,平均107ms最低时延45ms,最高93ms,平均47ms丢包率丢包率小有的ip段丢包率较大每个段都会有概率丢包阿里云:47.242段:最低时延59ms,最高204ms,平均107ms,有的ip段丢包率较大8.210段:最低时延64ms,最高232ms,平均119ms,丢包率较好腾讯云:最低时延44ms,最高72ms,平均46ms,丢包率小华为云:最低时延45ms,最高93ms,平均47m
