هک شدن برخس اط سرورهای اختصاصی vmware

[pasargad]

سلام
تلگرام
@dparsaee
09179059350

درود خدمت همه بزرگواران،
از آخرین فعالیت بنده در این انجمن سالها گذشته. اما دیشب که سرور بنده هم دچار این اختلال شد و جناب پارسایی زحمت کشیدند حل کردند، این تاپیک رو دنبال میکردم.
برای همین جایز ندیدم که از ایشون سپاسگزاری ویژه ای نکنم بابت تمام زحماتشون که باعث شدن این موضوع حل بشه و تمام اطلاعات ما برگردد.
سپاسگزارم از ایشون

[tazekar0]

درود خدمت همه بزرگواران،
از آخرین فعالیت بنده در این انجمن سالها گذشته. اما دیشب که سرور بنده هم دچار این اختلال شد و جناب پارسایی زحمت کشیدند حل کردند، این تاپیک رو دنبال میکردم.
برای همین جایز ندیدم که از ایشون سپاسگزاری ویژه ای نکنم بابت تمام زحماتشون که باعث شدن این موضوع حل بشه و تمام اطلاعات ما برگردد.
سپاسگزارم از ایشون

سلام، واقعا خیلی ممنون از جناب پارسایی؛ من یه چند تا سایت خبری و فروشگاهی اینا داشتم که از دیروز بخاطر همین هک شدن از کار افتاده بودند که نمی دونستم چیکار کنم فکر کردم زحمت چند سالم بر باد رفته.... ولی خدا رو شکر جناب پارسایی این مشکل رو حل کردن...واقعا دمتون گرم...

[PARSAEE]

دوستان لطفا اگر در مورد این وضعیت اطلاعاتی ندارید به سرورهای مجازی دست نزنید .
وضع بسیار وحشتناک تر از اون چیزی هست که می شه فکر کرد

[senatorhost]

با سلام و احترام
سپاس از آقا پارسای گل که کمک کردن و مشکل ما را حل کردن
دوستان لطفا هر روشی را بدون دانش کافی انجام ندین و لطفا سعی کنید از دوستانی ماهرتر کمک بگیرید تا مشکلتون حل بشه

[shafaghi99]

آقا این بلا سر من اومد هرچی داشتم و نداشتم پاک شد. خداروشکر خداروشکر بک آپ داشتم.

پس برای بقیه ام اتفاق افتاده

[Optimus]

آیا کسانی که هک شدند آخرین پچ امنیتی vmware را نصب کرده بودند ؟ پچ 202210001

[PARSAEE]

خیر همه نسخه هایی که هک شدن به روز نبوده اند
هر چه نسخه هم پایینتر بوده ضربات بیشتری خورده
در برخی نسخه ها پایینتر وقتی می خوای از فایل vmdk استفاده کنی حتی فایل فلت کامل حذف یا دسترسی صفر می شه

یه آموزش دیدم توی اینترنت اگر اشتباه نکنم ایران سرور بود
با اون آموزش فقط می شه 70 درصد را نجات داد
فقط خواهش می کنم الکی دست نزنید چون ممکنه اطلاعات بپره

[ojooobe]

سلام و احترام.

طبق تجربه در این 3-4 روز اخیر و بازگردوندن تقریباً 15 سرور و 100ها ماشین، در 95% ماشین ها برمیگردن خیلی نگران نباشید.

[vst]

سلام
پورت427 رو از روی سوییچ مسدود کنید
امکان هک بسیار کاهش پیدا میکنه

[wanener]

اگر هک نشدید یا ماشین های هک نشده دارید در اولین اقدام سرویس SLP رو غیر قعال کنید
با غیر فعال کردن این سرویس قابلیت پایش وضعیت سخت افزاری سرور مثل وضعیت هارد ها و کنترلر ها و یا دما رو از طریق esxi از دست خواهید داد
با برداشتن تیک پورت مربوط به CIM SLP که ۴۲۷ هست پورت روی فایروال بشته شده و daemon مربوطه هم استاپ میشه

By default, daemons will start automatically when any of their ports are opened, and stop when all of their ports are closed.


سه دستور زیر هم از طریق کنسول سرور یا اتصال به SSH قابل اجرا هت
توقف سرویس

کد:

 /etc/init.d/slpd stop

غیر فعال کردن در فایروال

کد:

esxcli network firewall ruleset set -r CIMSLP -e 0

جلوگیری از اجرای سرویس در ریبوت

کد:

 chkconfig slpd off

اگر ماشین های هک شده دارید ممکنه بخشی یا تمام دیتا قابل بازیابی باشه
بهترین کار این هست که ابتدا esxi رو نصب تمیز کنید و بعد پتچ کنید و بعد شروع بع بازیابی کنید که مطین بشید در این فرایند مرکز کنترل امکان دسترسی به سرور رو از دست داده باشه

ارادتمند
صالحی

- - - Updated - - -

من هنوز هک نشدم
کسی از دوستان می تونه کمک کنه آپدیت کنم به ورژن ۷

الان ۶.۷ هست

طبق آموزش های موجود در یوتیوب رفتم نتیجه نگرفتم و خطا می دادفایل پیوست 41381

هر سخت افزاری رو نمیتونید به ۷ ارتقا بدید
بهتره همون ۶.۷ رو پج کنید و بروز نگه دارید و جلوگیری های رایج رو اعمال کنید