日本电子维修技术 NASesxi 6.7疑似被黑？发些一堆操作。请教大神们

gen8下装了esxi 6.7 装上后一直稳定也只是偶尔看看。
今天中午回家发现某个虚拟机关了，查看发现重启在早上10点左右重启过，于是查看了50条事件。
发现了一堆操作，dcui用户登陆，对防火墙的操作，还有对存储的操作
要是root用户操作的？是不是我的root帐号给木马被盗了？

昨天刷了路由固件(openwrt的）没搞好，今天早上就没连回家看过。
请教如下图的操作是不是被黑了？？

QQ图片20180917150050.jpg (288.64 KB, 下载次数: 0)

2018-9-17 15:15 上传

评论

事件：
用户 [email protected] 已以vmware-client/6.5身份登录。
用户 [email protected] 已注销(登录时间：星期一 ,17 九月,2018。。。调用api。)
用户 [email protected]  已以mware-client/6.5身份登录。
已在主机localhost.lan上启动vmware主机代理

评论

事件：
防火墙配置已更改。对规则集 dynamicruluest 的操作 add 已成功
已在虚拟机 'vswitch0'的羰口组 vm network ,'managerment netwroker还原链接,物理卡vmmic0正常
ha-datacenter 中localhost.an 上的win2012已开电源
ha-datacenter 中主机localhost.an 上的win2012正常启动
用户 [email protected]已以mware-client/6.5身份登录。
至少已配置一个 coredump 目标。将保存主机核心转储.
至少已配置一个 coredump 目标。将保存主机核心转储.
至少已配置一个 coredump 目标。将保存主机核心转储.
至少已配置一个 coredump 目标。将保存主机核心转储.
已引导主机。
。。。。。。。。
一堆操作。今天
但今天没连接过回家，家也没懂这么操作的人。
这个被黑还是esxi自动操作？




评论
断网，保数据，扫毒，改密码，打补丁

评论

已断，搞出系统的log

一些log
2018-09-17T17:57:32.309Z error hostd[2098605] [[email protected] sub=Vimsvc] [ACL] Adding unresolved permission for user "root"
2018-09-17T17:57:32.309Z error hostd[2098605] [[email protected] sub=Vimsvc] [ACL] Adding unresolved permission for user "dcui"
2018-09-17T17:57:32.309Z error hostd[2098605] [[email protected] sub=Vimsvc] [ACL] Adding unresolved permission for user "vpxuser"



评论
vmauthd.log 文件部分。。。。。

2018-09-17T13:34:41Z vmauthd[2108828]: Read failed.
2018-09-17T13:34:43Z vmauthd[2108829]: Msg_SetLocaleEx: HostLocale=UTF-8 UserLocale=NULL
2018-09-17T13:34:43Z vmauthd[2108829]: Could not expand environment variable HOME.
2018-09-17T13:34:43Z vmauthd[2108829]: Could not expand environment variable HOME.
2018-09-17T13:34:43Z vmauthd[2108829]: DictionaryLoad: Cannot open file "/usr/lib/vmware/config": No such file or directory.
2018-09-17T13:34:43Z vmauthd[2108829]: DictionaryLoad: Cannot open file "~/.vmware/config": No such file or directory.
2018-09-17T13:34:43Z vmauthd[2108829]: DictionaryLoad: Cannot open file "~/.vmware/preferences": No such file or directory.
2018-09-17T13:34:43Z vmauthd[2108829]: lib/ssl: OpenSSL using FIPS_drbg for RAND
2018-09-17T13:34:43Z vmauthd[2108829]: lib/ssl: protocol list tls1.2
2018-09-17T13:34:43Z vmauthd[2108829]: lib/ssl: protocol list tls1.2 (openssl flags 0x17000000)
2018-09-17T13:34:43Z vmauthd[2108829]: lib/ssl: cipher list !aNULL:kECDH+AESGCM:ECDH+AESGCM:RSA+AESGCM:kECDH+AES:ECDH+AES:RSA+AES
2018-09-17T13:34:43Z vmauthd[2108829]: Connect from (local) AF_UNIX socket.
2018-09-17T13:34:43Z vmauthd[2108829]: Connect from 127.0.0.1
2018-09-17T13:34:43Z vmauthd[2108829]: local verification as root
2018-09-17T13:34:43Z vmauthd[2108829]: received CONNECT_NOSTART command: /vmfs/volumes/5b7359a0-80490775-c99a-1c98ec0f8e24/win2012/win2012.vmx vmx-vigor
2018-09-17T13:34:43Z vmauthd[2108829]: Acquired lock for /var/run/vmware/authd_eec785a0c5255b8c30d3932b678995f2
2018-09-17T13:34:43Z vmauthd[2108829]: No such VMware process: /vmfs/volumes/5b7359a0-80490775-c99a-1c98ec0f8e24/win2012/win2012.vmx
2018-09-17T13:34:43Z vmauthd[2108829]: released lock for /var/run/vmware/authd_eec785a0c5255b8c30d3932b678995f2
2018-09-17T13:34:43Z vmauthd[2108829]: Local connection for vmx-vigor failed.
2018-09-17T13:34:43Z vmauthd[2108829]: Read failed.
2018-09-17T17:57:12Z mark: storage-path-claim-completed

评论
hostd.log 文件有以下

2018-09-17T17:57:40.769Z info hostd[2098616] [[email protected] sub=Hostsvc.VmkVprobSource] VmkVprobSource::Post event: (vim.event.EventEx) {
-->    key = 223,
-->    chainId = 14,
-->    createdTime = "1970-01-01T00:00:00Z",
-->    userName = "",
-->    datacenter = (vim.event.DatacenterEventArgument) null,
-->    computeResource = (vim.event.ComputeResourceEventArgument) null,
-->    host = (vim.event.HostEventArgument) {
-->       name = "localhost.lan",
-->       host = 'vim.HostSystem:ha-host'
-->    },
-->    vm = (vim.event.VmEventArgument) null,
-->    ds = (vim.event.DatastoreEventArgument) null,
-->    net = (vim.event.NetworkEventArgument) null,
-->    dvs = (vim.event.DvsEventArgument) null,
-->    fullFormattedMessage = <unset>,
-->    changeTag = <unset>,
-->    eventTypeId = "esx.audit.host.boot",
-->    severity = <unset>,
-->    message = <unset>,
-->    arguments = <unset>,
-->    objectId = "ha-host",
-->    objectType = "vim.HostSystem",
-->    objectName = <unset>,
-->    fault = (vmodl.MethodFault) null
--> }

评论
晚上下班回来把机器重启，发现计划任务有这么3条东西

haTask-8-vim.VirtualMachine.powerOn-120
haTask-ha-host-vim.host.ImageConfigManager.installDate-130

评论

似在执行一些破解?
还是系统的bug?



评论
进官网提示“L1 Terminal Fault” L1TF 缓存漏洞 CVE-2018-3646、CVE-2018-3620、和 CVE-2018-3615

VMware 知晓 “L1 Terminal Fault” L1TF 缓存漏洞，即 CVE-2018-3646、CVE-2018-3620、和 CVE-2018-3615。有关 VMware 对此漏洞的应对和建议的补救措施，请参见 VMware Security Advisory VMSA-2018-0020，以及 VMware 知识库文章 KB55636 .
KB55636

评论
很明显各种报错…没人黑

评论

是吗？这些错怎么处理掉？
具体log文件如下

https://pan.baidu.com/s/1TvG_g2b ... %2Fesxi%2Fesxi67log

评论
具体原因不会搞…我只是一个VCP小白，百度，vmware的kb，多查查吧

评论
gen8不支持6.7，出问题不好说

评论

之前一直没问题，用了几个月了

评论

好谢谢 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号，不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚，因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗？ 评论 认真看，认真瞧。果然有收
 ·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 ｛日本国际学校｝梅田インターナショナルスクール
·日本学校 LINE：sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場　一時1ドル＝140円台まで上昇？
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
 ·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办？