长话短说,为了管理方便,我把MicroServer Gen8 iLO的远程Console管理端口9300和17990暴露到Internet上了,然后去年一年没有升级HP SSP包,所以现在iLO还是2.40版本,于是上周五(2018-09-21)Gen8就被黑了,发现的时候iLO管理员密码被改无法登录,Windows管理员密码被改无法登录,Windows内的Debian虚拟机直接被干掉(虚拟机文件被加密)。
事后检查发现是被感染了GANDCRAB V4病毒,SSD系统盘上两个分区已经完全被加密(除了Windows和虚拟磁盘文件没有重要文件),不幸中的大幸是仓库盘上只有大约50G的美剧被加密,照片、文档都没有问题,从Debian虚拟机共享的文件有没有被加密,另一个备份NAS上共享的文件也没有被加密。
以下是补救措施:
立即断开iLO管理端口的映射重置iLO管理密码(参见这里,Gen8的系统维护开关在左后位置,不需要拉出主板就可以调整,但是开关很小,需要用缝衣针才能拨动)重装Windows 2016升级iLO删除硬盘上所有KRAB文件。
之所以知道是从iLO入侵的,是因为在iLO事件日志中看到了入侵的过程:
3435 09/20/2018 08:22 09/20/2018 08:22 1 Server power removed.
3434 09/20/2018 07:56 09/20/2018 07:56 1 Browser login failure from: 192.168.20.162(WorkPC.lan).
3433 09/20/2018 07:55 09/20/2018 07:55 1 Browser login failure from: 192.168.20.162(WorkPC.lan).
3432 09/20/2018 01:20 09/20/2018 01:20 1 Browser logout: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
3431 09/20/2018 00:53 09/20/2018 00:53 1 Remote console session stopped by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
3430 09/20/2018 00:48 09/20/2018 00:48 1 Server reset.
3429 09/20/2018 00:48 09/20/2018 00:48 1 Power-On signal sent to host server by: bu9eRiwa.
3428 09/20/2018 00:45 09/20/2018 00:45 1 Server reset.
3427 09/20/2018 00:45 09/20/2018 00:45 1 Host server reset by: bu9eRiwa.
3426 09/20/2018 00:45 09/20/2018 00:45 1 Remote console started by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
3425 09/20/2018 00:44 09/20/2018 00:44 1 eRS - Device Unregistered Successfully. Disconnected from HP Insight Online
3424 09/20/2018 00:44 09/20/2018 00:44 1 Remote console session stopped by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
3423 09/20/2018 00:44 09/20/2018 00:44 1 eRS - hosted-by.euservr.com 5.79.68.233(Device Unregistration initiated by bu9eRiwa from)
3422 09/20/2018 00:43 09/20/2018 00:43 1 eRS - Data Collection Sent
3421 09/20/2018 00:41 09/20/2018 00:41 1 Server reset.
3420 09/20/2018 00:41 09/20/2018 00:41 1 Server power removed.
3419 09/20/2018 00:41 09/20/2018 00:41 1 Power on request received by: Automatic Power Recovery.
3418 09/20/2018 00:41 09/20/2018 00:41 1 Host server reset by: bu9eRiwa.
3417 09/20/2018 00:40 09/20/2018 00:40 1 Remote console started by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
3416 09/20/2018 00:40 09/20/2018 00:40 1 Remote console session stopped by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
3415 09/20/2018 00:39 09/20/2018 00:39 1 eRS - Data Collection Sent
3414 09/20/2018 00:37 09/20/2018 00:37 1 Server reset.
3413 09/20/2018 00:37 09/20/2018 00:37 1 Scriptable virtual media ejected by: bu9eRiwa.
3412 09/20/2018 00:25 09/20/2018 00:25 1 User hphp3 deleted by bu9eRiwa.
3411 09/20/2018 00:25 09/20/2018 00:25 1 User hphp deleted by bu9eRiwa.
3410 09/20/2018 00:25 09/20/2018 00:25 1 User Administrator deleted by bu9eRiwa.
3409 09/20/2018 00:48 09/20/2018 00:25 5 Embedded Flash/SD-CARD: Restarted.
3408 09/20/2018 00:48 09/20/2018 00:25 5 Server power restored.
3407 09/20/2018 00:25 09/20/2018 00:25 1 Server reset.
3406 09/20/2018 00:25 09/20/2018 00:25 1 Host server reset by: bu9eRiwa.
3405 09/20/2018 00:25 09/20/2018 00:25 1 Scriptable virtual media inserted by: bu9eRiwa.
3404 09/20/2018 00:24 09/20/2018 00:24 1 Remote console started by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
3403 09/20/2018 00:23 09/20/2018 00:23 1 Browser login: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
3402 09/20/2018 00:23 09/20/2018 00:23 1 Browser logout: System Administrator - 127.0.0.1(localhost).
3401 09/20/2018 00:23 09/20/2018 00:23 1 User bu9eRiwa added by System Administrator.
3400 09/20/2018 00:23 09/20/2018 00:23 1 Browser login: System Administrator - 127.0.0.1(localhost).复制代码
基本过程:
用系统管理员登录,创建用户bu9eRiwa用此用户远程登录打开Remote Console,用脚本挂载虚拟媒体镜像,远程登录地址是hosted-by.euservr.com提供的VPS重启Server(估计病毒就是在这个过程中感染系统的),删除iLO内置的Administrator管理员后面多次重启系统,不知道是什么操作最后,还把服务器从HP Insight Online注销,大概是为了避免有警告消息发给管理员,给病毒争取时间进行文件加密?
另外,被删除的hphp和hphp3两个用户也是被黑了添加进来的,查了一下日志,发现是2018-08-11添加的,说明早就被盯上了。
整个流程上设计非常险恶,iLO管理员被删、Windows管理员密码被修改,绝对会推迟发现问题的时间,一切的设计都是为了给勒索病毒争取时间进行加密。
不清楚我只被加密了50G的视频是因为病毒加密过程出错中断,还是因为加密的速度不够快(从开始进行加密到我发现强行关闭服务器大约8个小时,总共加密了SSD上约200G数据+仓库盘上50G美剧)。
Google了一下,这种感染方式几个月前就有了:https://sensorstechforum.com/500 ... ces-hit-ransomware/,其中利用到了两个漏洞CVE-2013-4786和CVE-2017-12542,HP官方网站上最后更新日期分别是2018-06-13和2018-05-08,iLO升级到最新的2.61(最新的SSP包中是2.60,2018-08-06提供了单独的2.61下载)应该可以解决这两个漏洞。
最后的最后,吸取教训,安全第一,方便第二,以后绝对不再把高危端口暴露在Internet上。决定在路由器上配置OpenXXX,以后远程连回家里进行管理。
还有,iLO该升级还是得升级,虽然升级了可能还是有潜在的漏洞……
评论
nas, raid都不是备份。对于重要数据,离线备份和异地备份非常重要
评论
收藏,以备不时之需。
评论
ilo2.61已更新。我就是openxxx远程回家操作的。
IMG_20180928_081051.jpg (116.54 KB, 下载次数: 1)
评论
没装防病毒软件?
评论
路由防火墙把能外网访问的源地址限制一下,比如手机是某省某运营商,IP段放行,如果是单位,一般是固定IP,放行即可,其他全部drop
评论
怎么更新,买回来就没动过,不过是广电的网络,没公网ip
评论
麻烦给个下载链接,谢谢
评论
https://support.hpe.com/hpsc/swd ... fdb924daf87a10fa810
下载的文件需要winrar5.6解压两次,然后在ilo里直接升级 。
评论
好的,谢谢
评论
么么哒
评论
这类加密本来就慢。
尤其LZ你的还是视频大文件。那就更慢了。
评论
最新的SPP镜像能分享一下吗?
评论
http://www.digiboy.ir/7968/hpe-s ... proliant-2018-06-0/
网上共享出来最新的只有这个
hpe官网上已经更新到201809了
评论
原来是这样……
这个时候原装的赛扬G1610T CPU的“优势”就显出来了,运算速度太慢,加密不了几个文件……
评论
嗯,异地备份做不到,NAS上是用SyncThing做的热备,有一块8T硬盘做离线备份,不过离线备份有两个月没有更新了……
评论
因为这类加密不像某些伪混淆只加密个文件头之类的。而是整个文件数据跑一遍算法。。所以慢的一比。。一般勒索只针对图片文档这类文件的原因也就是这个。文件小加密快得多。
评论
我下载下来,怎么不是压缩包,不用解压缩啊?
评论
不是,我想知道你的GEN为什么会暴露在公网上面
评论
用SevenZip,右键->7-Zip->打开压缩包就可以了
评论
帖子里面说了,为了方便管理我把iLO的Console端口做了端口映射。
评论
这里大神多,请教一个问题:HP Z210 SSF 增加原装单口网卡,哪里能查到兼容性表。
其实就是问:需要买HP原装单口网卡,推荐下呗,HP Z210 SFF能用的短网卡
评论
还好我不敢放公网上。。就在家。。。
ILO2.61升级下能解决?明天升下
评论
赶紧更新了下ilo
评论
mark一下,不过这类大文件加密时间很久的
评论
同样也学到这个教训了
评论
我所有映射都改了端口…补丁都及时打
评论
你这也太大胆了,我建议3389开,然后再通过3389 进入ILO
评论
你这也太大胆了,我建议3389开,然后再通过3389 进入ILO
评论
2.61支持中文吗?请问我也广播了,不过很久版本都是2.55
前段时间升级了2.61
不过ILO的管理员用户默认并不是弱口令啊
是什么漏洞
评论
支持中文?.自答一下:2.5的 语言包通用。
评论
应该通用,我就是原来的。
评论
这两天我笔记本也遇到勒索病毒...比特币给这些家伙嚣张的渠道 可恶
评论
3389也不开的好,以前也爆过严重漏洞的。
要开的话最好用端口映射修改为暴露非默认端口映射到内网3389端口。
评论
这种最好别开外网访问端口。通过V*N方式访问就好了。
评论
小声的问一下...那个VXN不是被XXX了吗?用这个会不会被查个水表啥的?我的Gen8都是映射个四五位的端口远程连着的。有点方.....
评论
破解你的ilo管理员密码用了多长时间????????
评论
连国外的V*N会被xxx,国内连国内应该没事吧?
评论
应该是利用了iLO的漏洞,估计一秒钟都没用,直接绕过授权系统就进来了……
评论
2018.09我下来了
https://drive.google.com/uc?id=1 ... amp;export=download
https://mega.nz/#!h5AimCLY!fsemK ... v4TnQWwGDvtgpR513jo
评论
你这要**,我来给个不要**的,用迅雷速度还行。
2018.09
评论
地址呢?
评论
点击2018.09啊,或者右键2018.09,选择用迅雷下载,浏览器自己下载不快,只有3MB左右,迅雷的话,可以到20MB---30MB,不稳,但也不算慢。
评论
谢谢,已经下载升级
评论
201809更新了什么呢?
评论
谢谢!已下载,速度还可以
评论
CPU差一点 加密就不会很快 上次我发现中招就几小时 大概几十g中招
评论
201809更新了什么啊?
评论
spp 201809更新了什么?
评论
3389开的话很危险,我服务器被当成了矿机。
评论
22T的数据已经跪了。。。。
现在全部格式化,重装系统。。。。
评论
外网管理ilo?心真大
评论
……兄弟你比我惨太多了
评论
用老版本ILO的都需要升级吗?
如果只是在内网使用呢
为了风扇转速低,记得一直都是用ILO 1.32破解版本的
评论
关键核心的数据还是要冷备的
评论
我草 楼主 我看了你的帖子检查了下我的 发现也有这个用户啊,ILO版本2.5.但是因为我是直接虚拟的群晖所以目前文件完好。 看来也要打补丁了,ILO这么不安全啊
Snap-5.jpg (31.89 KB, 下载次数: 0)
评论
应该不是靠破解密码,我把管理员账户都改名了,密码很长。一样被入侵。刚看到的。也是被添加了几个管理员
评论
3043[size=1em]10/28/2018 14:1810/28/2018 14:181Browser logout: System Administrator - 127.0.0.1(localhost).3042[size=1em]10/28/2018 14:1810/28/2018 14:181Browser login: System Administrator - 127.0.0.1(localhost).3041[size=1em]10/19/2018 15:0710/19/2018 15:071Browser logout: bu9eRiwa - 109.172.78.204(DNS name not found).3040[size=1em]10/19/2018 14:3710/19/2018 14:371Remote console session stopped by: bu9eRiwa - 109.172.78.204(DNS name not found).3039[size=1em]10/19/2018 14:3710/19/2018 14:371Remote console started by: bu9eRiwa - 109.172.78.204(DNS name not found).3038[size=1em]10/19/2018 14:3410/19/2018 14:341Browser login: bu9eRiwa - 109.172.78.204(DNS name not found).3037[size=1em]10/19/2018 14:3410/19/2018 14:341Browser logout: System Administrator - 127.0.0.1(localhost).3036[size=1em]10/19/2018 14:3410/19/2018 14:341User bu9eRiwa added by System Administrator.3035[size=1em]10/19/2018 14:3410/19/2018 14:341Browser login: System Administrator - 127.0.0.1(localhost).3034[size=1em]07/23/2018 10:2807/23/2018 10:281Embedded Flash/SD-CARD: Restarted.3033[size=1em]07/23/2018 10:2807/23/2018 10:281Server power restored.3032[size=1em]07/23/2018 10:2807/23/2018 10:281Server reset.
评论
你也是开放了ILO端口到外网了嘛?
恩,方便远程管理。已经升级ILO版本。我还好就是直接装的黑群,开的有2步验证所以文件没被加密。另外就是我修改了默认管理员的名称,所以管理员也没被删除,不然还要拆开机箱重置密码...
评论
新的一天开始了
还剩最后一个磁盘,没完成格式化。。。
然后估计今天就弄完了。
之后的几天,就是关键数据恢复了。。。
还好重点数据都有备份。恢复一下完事。剩下的21t不要就不要了
评论
赶紧升级、断开端口映射,前车之鉴就在眼前……
评论
正常都是**->然后再管理
评论
单位开3389的服务器 ,直接被当矿机了
评论
看了下,我的也中招了。黑客还帮我升级了ilo,变成2.6版本的,我重来没升级过。现在多出来一堆高级管理用户。
仍在角落两年没管它。我装的windows2008 做的黑裙。
评论
黑客帮你升级iLO?不知道说什么好……
评论
吓得我赶紧2.61了
评论
https://support.hpe.com/hpsc/swd ... ;swEnvOid=4184#tab3
我是下的这个,说是最新的2.61b,刚升级完,幸亏还在摸索阶段。
这种勒索病毒会影响exsi虚拟下的win7和黑群吗?
评论
怕噪音可以用减速线+猫扇F12(非工业版,民用版本才行,工业版带不动)就可以了。还是安全第一
评论
关键端口重来不暴露,我现在也最多只是暴露一个远程桌面出来,然后通过远程桌面进行管理。
评论
这系统能按360吗,据说360不怕勒索病毒
评论
打死也不开放端口到外网,只用魏屁嗯,而且我直接在虚拟机里单独做了位屁恩服务器,端口也改成非默认的,所有服务器全部安装诺顿企业版,华硕诺顿企业还是很给力的,能挡掉大多数黑客攻击
评论
吓得我把映射的 ILO 远程控制台端口 和 虚拟介质端口 还有openwrt ssh端口 全关了
看了一下 还好 我9月17日 就升级到2.61版本了
System Revision 09/17/2018 00:05 09/17/2018 00:05 1 Firmware flashed (iLO 4 2.61)
评论
学习中进步,进步中成长,谢谢分享 电路 电子 维修 求创维42c08RD电路图 评论 电视的图纸很少见 评论 电视的图纸很少见 评论 创维的图纸你要说 版号,不然无能为力 评论 板号5800-p42ALM-0050 168P-P42CLM-01 电路 电子 维修 我现在把定影部分拆出来了。想换下滚,因为卡纸。但是我发现灯管挡住了。拆不了。不会拆。论坛里的高手拆解过吗? 评论 认真看,认真瞧。果然有收
·日本中文新闻 唐田绘里香为新剧《极恶女王》剃光头 展现演员决心
·日本中文新闻 真子小室夫妇新居引发隐私担忧
·日本中文新闻 前AKB48成员柏木由纪与搞笑艺人交往曝光
·日本学校 {日本国际学校}梅田インターナショナルスクール
·日本学校 LINE:sm287 陳雨菲、20歳、台湾からの留学生、東京に来たばかり
·日本留学生活 出售平成22年走行48000km 代步小车
·日本华人网络交流 円相場 一時1ドル=140円台まで上昇?
·日本华人网络交流 问日本华人一个问题
·日本旅游代购 富山接机
·生活百科 英国转澳大利亚转换插头
·汽车 【求助】修车遇到困难怎么办?