[讨论/分享] 凡是用HP Gen8做黑群的,即刻升级ILO版本到2.61 非常重要 |
|
今天在CHH看到一个帖子描述
Gen8被黑了,发现的时候iLO管理员密码被改无法登录,Windows管理员密码被改无法登录,Windows内的Debian虚拟机直接被干掉(虚拟机文件被加密)。 事后检查发现是被感染了GANDCRAB V4病毒,SSD系统盘上两个分区已经完全被加密(除了Windows和虚拟磁盘文件没有重要文件),不幸中的大幸是仓库盘上只有大约50G的美剧被加密,照片、文档都没有问题,从Debian虚拟机共享的文件有没有被加密,另一个备份NAS上共享的文件也没有被加密。 基本过程:
另外,被删除的hphp和hphp3两个用户也是被黑了添加进来的,查了一下日志,发现是2018-08-11添加的,说明早就被盯上了。 整个流程上设计非常险恶,iLO管理员被删、Windows管理员密码被修改,绝对会推迟发现问题的时间,一切的设计都是为了给勒索病毒争取时间进行加密。 Google了一下,这种感染方式几个月前就有了:https://sensorstechforum.com/500 ... ces-hit-ransomware/,其中利用到了两个漏洞CVE-2013-4786和CVE-2017-12542,HP官方网站上最后更新日期分别是2018-06-13和2018-05-08,iLO升级到最新的2.61(最新的SSP包中是2.60,2018-08-06提供了单独的2.61下载)应该可以解决这两个漏洞。 ----------------------------- 看到这篇帖子后我登录了我的GEN8的ILO 结果发现居然也中招了... 连增加的超级用户名字都一样,万幸的是我是直接用GEN8做的黑群,并且开了两步验证所以文件没有被加密。从日志上来看已经被黑几个月...添加管理员的IP是俄罗斯的... 吓的我赶紧删除新增的管理员账户后再升级ILO版本。 ILO 2.61下载地址 https://support.hpe.com/hpsc/swd ... fdb924daf87a10fa810
下载的文件需要winrar5.6解压两次,然后在ilo里直接升级 解压后扩展名是.bin的文件。 因为是用漏洞登录的,所以管理员密码设置的再复杂也没用,我主要是修改了默认管理员的名称所以内置的管理员账户没有被删除,不然还要好一番折腾。 当然没有做ILO端口映射的应该不受影响,但是升级下总归没有坏处的。 | ||
stargazer 发表于 2018-11-21 21:42 不做端口映射也是没问题的,ILO口可以和一个网口共用啊,如果你设置了不插一样可以访问,不过看样子你的应该没映射到外网。不过升级一下完全没坏处,几分钟的事而且不影响黑群运行 |
|
感谢LZ分享,还以为这种嵌入式系统安全性会高一些。 赶紧升级了。
另外,iLO目前最新的时 2.61(b) :https://support.hpe.com/hpsc/swd ... id=4184#tab-history |
cam2bridge 发表于 2020-8-16 16:32 早就不大了,一直用的ahci模式,几乎听不到风扇声音 |
丢掉OPENWRT旁网关。ESXi下实现iKuai+OP双7162 人气#黑白群晖
迅雷NAS版の邀请码770 人气#黑白群晖
9月21更新DSM7.2.2AME完美解码!解决Survei27844 人气#黑白群晖
最新版Surveillance Station 9.2.0-11289支12554 人气#黑白群晖
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
