摘要

今天查看深信服科技的公众号

发现有一个ESXiArgs 的勒索软件.

感觉对公司存在一定的风险.但是感觉操作手册有点简单.

这里想着写全面一点. 作为操作手册使用.

并且深信服仅是解决了在运行, 没有将服务设置为开机不启动.

不过感谢原作者提供的知识.

漏洞原理

攻击 slpd服务.

缓解的办法及时将这个服务停止掉

服务使用的端口为 427 

关于slp协议:

SLP:服务定位协议 (SLP:Service Location Protocol)

服务定位协议(SLP)为网络服务的发现和选择提供一种可扩展构架。

通过此协议,使用 Internet 服务的计算机不再需要那么多为网络应用程序服务的静态配置。

这对于便携式电脑或性急的或无法满足网络系统管理需求的用户来说尤其重要。

判断是否存在风险

telnet 10.110.xxx.xx 427

验证是否连通, 如果连通则存在安全风险

我这边验证. 有

1,5,11,17,25,27,33

机器的端口可以联通.

需要注意这个服务 需要在命令行内进行关闭和启动.

无法通过控制台进行处理.

打开ssh服务-6.0

打开vCenter->点击host宿主机->

右侧面板点击配置->点击右侧区域的左侧树形结果中的<系统>

点击服务->选中ssh,启用服务.

注意 在右侧面板的第一个CPU选项.点击可以看到序列号信息

可以用于维修等处理.

打开ssh服务-6.5

打开vCenter->点击host宿主机->

右侧面板点击配置->点击下方的安全配置文件->

点击服务->打开ssh,启用服务.

停止危险服务

/etc/init.d/slpd status

# 查看服务是否运行

/etc/init.d/slpd stop

# 关闭服务

chkconfig slpd

# 查看是否开机启动

chkconfig slpd off

# 关闭开机启动

# 注意 其实应该最后检查一下两项:

chkconfig slpd

/etc/init.d/slpd status

验证是否存在风险

1. 查看目录:/store/packages

   下面是否存在 vmtools.py相关文件

2. 查看目录:/tmp

   是否存在 encrypt motd index.html等文件. 

ls /store/packages |grep vmtool

ls /tmp |grep -E "encrypt|motd|index"

如果如上两个命令没有返回 则问题不大.

ESXi规避ESXiArgs勒索软件的简单方法的更多相关文章

  1. Android勒索软件研究报告

    Android勒索软件研究报告 Author:360移动安全团队 0x00 摘要 手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件.其表现为手机触摸 ...

  2. C#,Winform软件防破译-源代码加密简单方法之.NET REACTOR(一)

    一..NET Reactor介绍 .NET Reactor是一个功能强大的代码保护和软件许可系统,适用于为.NET Framework编写的软件,并支持生成.NET程序集的所有语言. 支持Blazor ...

  3. C#,Winform软件防破译-源代码加密简单方法之.NET REACTOR(二)制作软件及软件试用时间限定

    二.简单介绍使用 .net reactor 软件制作试用软件,利用license制作授权软件的方法. 1.首先,生成试用版软件 设置主文件和附属文件,打开.net Reactor 设置试用期限,在Se ...

  4. 一个简单的windows勒索软件分析

    根据分析,此病毒是一个勒索软件,通过修改登录用户密码,留下勒索QQ号码向用户索要金钱. 它调用了Kernel32.dll里的WinExec来执行更改用户密码的cmd命令,密码为107289,更改完密码 ...

  5. 【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性

    原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-wo ...

  6. 腾讯安全反病毒实验室解读“Wannacry”勒索软件

    背景 针对昨日英国医院被攻击,随后肆虐中国高校的 WannaCry 勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析.此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播, ...

  7. 【软件使用】TortoiseSVN版本管理软件使用简单说明

    TortoiseSVN版本管理软件使用简单说明 很多时候在写一个小的项目不想使用github等工具,只想简单在本地搭建一个版本管理器.那么TortoiseSVN就非常适合. 第一步:下载Tortois ...

  8. Office2003/2010等集成SP的简单方法

    Office2003集成SP的简单方法 需要准备的工具:Office 2003 光盘镜像.SP3更新包.Office 2003 序列号.UltraISO,7-zip或winrar,虚拟光驱 步骤一:提 ...

  9. 【转】预装Win8/8.1 中文版系统升级为专业版或专业版含媒体中心版的简单方法

    [转]预装Win8/8.1 中文版系统升级为专业版或专业版含媒体中心版的简单方法 原文地址:http://www.iruanmi.com/upgrade-win8-china-to-a-higher- ...

  10. 针对Jigsaw勒索软件的解锁工具

    针对Jigsaw勒索软件的解锁工具 据了解, 用户的计算机系统一旦感染了勒索软件Jigsaw,如果用户没有在一个小时之内支付赎金(0.4个比特币,价值约为150美金),那么恶意软件将会把系统中的上千份 ...

随机推荐

  1. 干货分享丨轻松玩转 Huawei LiteOS 传感框架

    摘要:LiteOS传感框架将物联网终端设备上不同类型的传感器统一管理,通过抽象不同类型传感器接口,屏蔽其硬件细节,做到"硬件"无关性,非常方便于物联网设备的开发.维护和功能扩展. ...

  2. 云图说丨初识云应用引擎CAE

    摘要:开发运营一个应用软件,面临种种挑战:软件栈厚重.开发上线慢.资源易浪费.运维投入高.突发流量应对困难. 华为云应用引擎CAE面对挑战,一扫而光!! 本文分享自华为云社区<[云图说] | 第 ...

  3. Solon:Hello world!

    Solon:Hello world! (一)新建一个 maven 空项目 (二)添加 maven 引用 <dependency> <groupId>org.noear</ ...

  4. Java SpringBoot Test 单元测试中包括多线程时,没跑完就结束了

    如何阻止 Java SpringBoot Test 单元测试中包括多线程时,没跑完就结束了 使用 CountDownLatch CountDownLatch.CyclicBarrier 使用区别 多线 ...

  5. Axure 绘制表格添加删除

    1.添加按钮:白底黑框,80X30,文本和命名均为"添加"; 2.数据表格(表头):1行5列,灰底黑框的表格作为表头,从左到右每个格子的文字分别为:姓名.性别.年龄.电话和操作: ...

  6. JupyterLab 桌面版 !!!

    JupyterLab 是广受欢迎的 Jupyter Notebook「新」界面.它是一个交互式的开发环境,可用于 notebook.代码或数据,因此它的扩展性非常强. 用户可以使用它编写 notebo ...

  7. ORM之Sequelize

    一.环境: Vue.Quasar.Electron.Postgres.Sequelize.sequelize-auto 二.安装 (1)添加Sequelize(全局安装) $npm install - ...

  8. MPI Maelstrom POJ - 1502 ⭐⭐ 【Dijkstra裸题】

    MPI Maelstrom POJ - 1502 实验室有很多台计算机,由于每个人计算机的性能不同,导致计算机之间发送信息的速度不同,所以花费时间不同. 消息从第一台电脑发送到第二台电脑后,这两台电脑 ...

  9. Spring Boot 自动配置注解源码解析

    前言 为什么Spring Boot这么火?因为便捷,开箱即用,但是你思考过为什么会这么便捷吗?传统的SSM架构配置文件至少要写半天,而使用Spring Boot之后只需要引入一个starter之后就能 ...

  10. ios-class-guard - iOS代码混淆与加固实践

    ​ 目录 ios-class-guard - iOS代码混淆与加固实践 摘要 引言 一.class-dump 二.ios-class-guard 混淆原理 三.ios-class-guard 混淆结果 ...