摘要

今天查看深信服科技的公众号

发现有一个ESXiArgs 的勒索软件.

感觉对公司存在一定的风险.但是感觉操作手册有点简单.

这里想着写全面一点. 作为操作手册使用.

并且深信服仅是解决了在运行, 没有将服务设置为开机不启动.

不过感谢原作者提供的知识.

漏洞原理

攻击 slpd服务.

缓解的办法及时将这个服务停止掉

服务使用的端口为 427 

关于slp协议:

SLP:服务定位协议 (SLP:Service Location Protocol)

服务定位协议(SLP)为网络服务的发现和选择提供一种可扩展构架。

通过此协议,使用 Internet 服务的计算机不再需要那么多为网络应用程序服务的静态配置。

这对于便携式电脑或性急的或无法满足网络系统管理需求的用户来说尤其重要。

判断是否存在风险

telnet 10.110.xxx.xx 427

验证是否连通, 如果连通则存在安全风险

我这边验证. 有

1,5,11,17,25,27,33

机器的端口可以联通.

需要注意这个服务 需要在命令行内进行关闭和启动.

无法通过控制台进行处理.

打开ssh服务-6.0

打开vCenter->点击host宿主机->

右侧面板点击配置->点击右侧区域的左侧树形结果中的<系统>

点击服务->选中ssh,启用服务.

注意 在右侧面板的第一个CPU选项.点击可以看到序列号信息

可以用于维修等处理.

打开ssh服务-6.5

打开vCenter->点击host宿主机->

右侧面板点击配置->点击下方的安全配置文件->

点击服务->打开ssh,启用服务.

停止危险服务

/etc/init.d/slpd status

# 查看服务是否运行

/etc/init.d/slpd stop

# 关闭服务

chkconfig slpd

# 查看是否开机启动

chkconfig slpd off

# 关闭开机启动

# 注意 其实应该最后检查一下两项:

chkconfig slpd

/etc/init.d/slpd status

验证是否存在风险

1. 查看目录:/store/packages

   下面是否存在 vmtools.py相关文件

2. 查看目录:/tmp

   是否存在 encrypt motd index.html等文件. 

ls /store/packages |grep vmtool

ls /tmp |grep -E "encrypt|motd|index"

如果如上两个命令没有返回 则问题不大.

ESXi规避ESXiArgs勒索软件的简单方法的更多相关文章

  1. Android勒索软件研究报告

    Android勒索软件研究报告 Author:360移动安全团队 0x00 摘要 手机勒索软件是一种通过锁住用户移动设备,使用户无法正常使用设备,并以此胁迫用户支付解锁费用的恶意软件.其表现为手机触摸 ...

  2. C#,Winform软件防破译-源代码加密简单方法之.NET REACTOR(一)

    一..NET Reactor介绍 .NET Reactor是一个功能强大的代码保护和软件许可系统,适用于为.NET Framework编写的软件,并支持生成.NET程序集的所有语言. 支持Blazor ...

  3. C#,Winform软件防破译-源代码加密简单方法之.NET REACTOR(二)制作软件及软件试用时间限定

    二.简单介绍使用 .net reactor 软件制作试用软件,利用license制作授权软件的方法. 1.首先,生成试用版软件 设置主文件和附属文件,打开.net Reactor 设置试用期限,在Se ...

  4. 一个简单的windows勒索软件分析

    根据分析,此病毒是一个勒索软件,通过修改登录用户密码,留下勒索QQ号码向用户索要金钱. 它调用了Kernel32.dll里的WinExec来执行更改用户密码的cmd命令,密码为107289,更改完密码 ...

  5. 【翻译】旧技术成就新勒索软件,Petya添加蠕虫特性

    原文链接:https://blogs.technet.microsoft.com/mmpc/2017/06/27/new-ransomware-old-techniques-petya-adds-wo ...

  6. 腾讯安全反病毒实验室解读“Wannacry”勒索软件

    背景 针对昨日英国医院被攻击,随后肆虐中国高校的 WannaCry 勒索事件,腾讯安全反病毒实验室第一时间给出了深度权威的分析.此次勒索事件与以往相比最大的亮点在于,勒索病毒结合了蠕虫的方式进行传播, ...

  7. 【软件使用】TortoiseSVN版本管理软件使用简单说明

    TortoiseSVN版本管理软件使用简单说明 很多时候在写一个小的项目不想使用github等工具,只想简单在本地搭建一个版本管理器.那么TortoiseSVN就非常适合. 第一步:下载Tortois ...

  8. Office2003/2010等集成SP的简单方法

    Office2003集成SP的简单方法 需要准备的工具:Office 2003 光盘镜像.SP3更新包.Office 2003 序列号.UltraISO,7-zip或winrar,虚拟光驱 步骤一:提 ...

  9. 【转】预装Win8/8.1 中文版系统升级为专业版或专业版含媒体中心版的简单方法

    [转]预装Win8/8.1 中文版系统升级为专业版或专业版含媒体中心版的简单方法 原文地址:http://www.iruanmi.com/upgrade-win8-china-to-a-higher- ...

  10. 针对Jigsaw勒索软件的解锁工具

    针对Jigsaw勒索软件的解锁工具 据了解, 用户的计算机系统一旦感染了勒索软件Jigsaw,如果用户没有在一个小时之内支付赎金(0.4个比特币,价值约为150美金),那么恶意软件将会把系统中的上千份 ...

随机推荐

  1. 直击火山引擎V-Tech峰会!仅需简单登录,即可极速体验数据引擎ByteHouse

    更多技术交流.求职机会,欢迎关注字节跳动数据平台微信公众号,回复[1]进入官方交流群   9月19日,火山引擎"数据飞轮·V-Tech数据驱动科技峰会"在上海举办.会上重磅发布数智 ...

  2. 火山引擎VeDI落地消费行业数据飞轮,提出“四更”新主张

    7月6日,火山引擎数智平台(VeDI)<全链路增长:数据飞轮转动消费新生力>主题活动在北京举办,会上分享了行业.企业.产品视角下的数据飞轮实践,并针对消费行业提出业务应用"四更& ...

  3. Solon 运行出乱码怎么办?

    1.启动时添加 -Dfile.encoding=utf-8,示例: java -Dfile.encoding=utf-8 -jar DemoApp.jar 再出现乱码?一般是文件本身编码问题.检查一下 ...

  4. Solon 开发进阶

    Solon 开发进阶 一.插件扩展机制 二.体外扩展机制 三.常用配置说明 四.启动参数说明 五.全局异常订阅 本系列在内核知识的基础上做进一步延申.主要涉及: 插件扩展体系 体外扩展体系 常用配置 ...

  5. No compiler detected, make sure you are running on top of a JDK instead of a JRE

    Java 调 webservice 报如下错误 [2023-11-07 17:01:02.315] ERROR [scheduling-1] ToHisApiImpl.java:106 - No co ...

  6. Intellij Java JNI 调用 C++

    也可以用 JNA,但性能没有 JNI 好.JNA的Demo没有做,可以参考(https://www.bilibili.com/video/BV1xU4y1F7Ep/?spm_id_from=autoN ...

  7. 如何安装和使用 Hugging Face Unity API

    Hugging Face Unity API 提供了一个简单易用的接口,允许开发者在自己的 Unity 项目中方便地访问和使用 Hugging Face AI 模型,已集成到 Hugging Face ...

  8. AI 黑科技,老照片修复,模糊变高清

    大家好 最近闲逛,发现腾讯开源的老照片修复算法新出了V1.3的预训练模型,手痒试了一下. 我拿"自己"的旧照片试了一下,先看效果 GFPGAN FPGAN算法由腾讯PCG ARC实 ...

  9. Codeforces Round #529 (Div. 3) 练习赛

    Examples input 6 baabbb output bab input 10 ooopppssss output oops 思路: 模拟等差数列即可 #include<bits/std ...

  10. 【每日一题】35. [CQOI2009]中位数图 (前缀和,贡献值计算)

    补题链接:Here 算法涉及:前缀和,贡献值计算 经典中位数计数问题,记得以前百度之星也出过类似的题,这道题有一个限定范围是要奇数区间的 我们很容易想到,奇数下标到偶数下标或者偶数下标到奇数下标的长度 ...