首页電腦硬體

常在河邊走,終於濕瞭鞋——Gen8被黑感染瞭勒索病毒

NetCobra2018-09-28 05:01
長話短說,為瞭管理方便,我把MicroServer Gen8 iLO的遠程Console管理端口9300和17990暴露到Internet上瞭,然後去年一年沒有升級HP SSP包,所以現在iLO還是2.40版本,於是上周五(2018-09-21)Gen8就被黑瞭,發現的時候iLO管理員密碼被改無法登錄,Windows管理員密碼被改無法登錄,Windows內的Debian虛擬機直接被幹掉(虛擬機文件被加密)。

事後檢查發現是被感染瞭GANDCRAB V4病毒,SSD系統盤上兩個分區已經完全被加密(除瞭Windows和虛擬磁盤文件沒有重要文件),不幸中的大幸是倉庫盤上隻有大約50G的美劇被加密,照片、文檔都沒有問題,從Debian虛擬機共享的文件有沒有被加密,另一個備份NAS上共享的文件也沒有被加密。

以下是補救措施:
  • 立即斷開iLO管理端口的映射
  • 重置iLO管理密碼(參見這裡,Gen8的系統維護開關在左後位置,不需要拉出主板就可以調整,但是開關很小,需要用縫衣針才能撥動)
  • 重裝Windows 2016
  • 升級iLO
  • 刪除硬盤上所有KRAB文件。

之所以知道是從iLO入侵的,是因為在iLO事件日志中看到瞭入侵的過程:
  1. 3435  09/20/2018 08:22  09/20/2018 08:22  1  Server power removed.
  2. 3434  09/20/2018 07:56  09/20/2018 07:56  1  Browser login failure from: 192.168.20.162(WorkPC.lan).
  3. 3433  09/20/2018 07:55  09/20/2018 07:55  1  Browser login failure from: 192.168.20.162(WorkPC.lan).
  4. 3432  09/20/2018 01:20  09/20/2018 01:20  1  Browser logout: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
  5. 3431  09/20/2018 00:53  09/20/2018 00:53  1  Remote console session stopped by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
  6. 3430  09/20/2018 00:48  09/20/2018 00:48  1  Server reset.
  7. 3429  09/20/2018 00:48  09/20/2018 00:48  1  Power-On signal sent to host server by: bu9eRiwa.
  8. 3428  09/20/2018 00:45  09/20/2018 00:45  1  Server reset.
  9. 3427  09/20/2018 00:45  09/20/2018 00:45  1  Host server reset by: bu9eRiwa.
  10. 3426  09/20/2018 00:45  09/20/2018 00:45  1  Remote console started by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
  11. 3425  09/20/2018 00:44  09/20/2018 00:44  1  eRS - Device Unregistered Successfully. Disconnected from HP Insight Online
  12. 3424  09/20/2018 00:44  09/20/2018 00:44  1  Remote console session stopped by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
  13. 3423  09/20/2018 00:44  09/20/2018 00:44  1  eRS - hosted-by.euservr.com 5.79.68.233(Device Unregistration initiated by bu9eRiwa from)
  14. 3422  09/20/2018 00:43  09/20/2018 00:43  1  eRS - Data Collection Sent
  15. 3421  09/20/2018 00:41  09/20/2018 00:41  1  Server reset.
  16. 3420  09/20/2018 00:41  09/20/2018 00:41  1  Server power removed.
  17. 3419  09/20/2018 00:41  09/20/2018 00:41  1  Power on request received by: Automatic Power Recovery.
  18. 3418  09/20/2018 00:41  09/20/2018 00:41  1  Host server reset by: bu9eRiwa.
  19. 3417  09/20/2018 00:40  09/20/2018 00:40  1  Remote console started by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
  20. 3416  09/20/2018 00:40  09/20/2018 00:40  1  Remote console session stopped by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
  21. 3415  09/20/2018 00:39  09/20/2018 00:39  1  eRS - Data Collection Sent
  22. 3414  09/20/2018 00:37  09/20/2018 00:37  1  Server reset.
  23. 3413  09/20/2018 00:37  09/20/2018 00:37  1  Scriptable virtual media ejected by: bu9eRiwa.
  24. 3412  09/20/2018 00:25  09/20/2018 00:25  1  User hphp3 deleted by bu9eRiwa.
  25. 3411  09/20/2018 00:25  09/20/2018 00:25  1  User hphp deleted by bu9eRiwa.
  26. 3410  09/20/2018 00:25  09/20/2018 00:25  1  User Administrator deleted by bu9eRiwa.
  27. 3409  09/20/2018 00:48  09/20/2018 00:25  5  Embedded Flash/SD-CARD: Restarted.
  28. 3408  09/20/2018 00:48  09/20/2018 00:25  5  Server power restored.
  29. 3407  09/20/2018 00:25  09/20/2018 00:25  1  Server reset.
  30. 3406  09/20/2018 00:25  09/20/2018 00:25  1  Host server reset by: bu9eRiwa.
  31. 3405  09/20/2018 00:25  09/20/2018 00:25  1  Scriptable virtual media inserted by: bu9eRiwa.
  32. 3404  09/20/2018 00:24  09/20/2018 00:24  1  Remote console started by: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
  33. 3403  09/20/2018 00:23  09/20/2018 00:23  1  Browser login: bu9eRiwa - 5.79.68.233(hosted-by.euservr.com).
  34. 3402  09/20/2018 00:23  09/20/2018 00:23  1  Browser logout: System Administrator - 127.0.0.1(localhost).
  35. 3401  09/20/2018 00:23  09/20/2018 00:23  1  User bu9eRiwa added by System Administrator.
  36. 3400  09/20/2018 00:23  09/20/2018 00:23  1  Browser login: System Administrator - 127.0.0.1(localhost).
復制代碼
基本過程:
  • 用系統管理員登錄,創建用戶bu9eRiwa
  • 用此用戶遠程登錄打開Remote Console,用腳本掛載虛擬媒體鏡像,遠程登錄地址是hosted-by.euservr.com提供的VPS
  • 重啟Server(估計病毒就是在這個過程中感染系統的),刪除iLO內置的Administrator管理員
  • 後面多次重啟系統,不知道是什麼操作
  • 最後,還把服務器從HP Insight Online註銷,大概是為瞭避免有警告消息發給管理員,給病毒爭取時間進行文件加密?

另外,被刪除的hphp和hphp3兩個用戶也是被黑瞭添加進來的,查瞭一下日志,發現是2018-08-11添加的,說明早就被盯上瞭。

整個流程上設計非常險惡,iLO管理員被刪、Windows管理員密碼被修改,絕對會推遲發現問題的時間,一切的設計都是為瞭給勒索病毒爭取時間進行加密。
不清楚我隻被加密瞭50G的視頻是因為病毒加密過程出錯中斷,還是因為加密的速度不夠快(從開始進行加密到我發現強行關閉服務器大約8個小時,總共加密瞭SSD上約200G數據+倉庫盤上50G美劇)。

Google瞭一下,這種感染方式幾個月前就有瞭:https://sensorstechforum.com/500 ... ces-hit-ransomware/,其中利用到瞭兩個漏洞CVE-2013-4786和CVE-2017-12542,HP官方網站上最後更新日期分別是2018-06-13和2018-05-08,iLO升級到最新的2.61(最新的SSP包中是2.60,2018-08-06提供瞭單獨的2.61下載)應該可以解決這兩個漏洞。

最後的最後,吸取教訓,安全第一,方便第二,以後絕對不再把高危端口暴露在Internet上。決定在路由器上配置OpenXXX,以後遠程連回傢裡進行管理。

還有,iLO該升級還是得升級,雖然升級瞭可能還是有潛在的漏洞……


共有回复 50 条
2018-09-28 06:05leojay
nas, raid都不是備份。對於重要數據,離線備份和異地備份非常重要
2018-09-28 06:43寒山湖
收藏,以備不時之需。
2018-09-28 06:52寒山湖
ilo2.61已更新。我就是openxxx遠程回傢操作的。

2018-09-28 07:17yiyiyao
沒裝防病毒軟件?
2018-09-28 08:47tankren
路由防火墻把能外網訪問的源地址限制一下,比如手機是某省某運營商,IP段放行,如果是單位,一般是固定IP,放行即可,其他全部drop
2018-09-28 08:52yajian2
怎麼更新,買回來就沒動過,不過是廣電的網絡,沒公網ip
2018-09-28 09:33htxxvip
@寒山湖
麻煩給個下載鏈接,謝謝
2018-09-28 09:45寒山湖
@htxxvip
https://support.hpe.com/hpsc/swd ... fdb924daf87a10fa810

下載的文件需要winrar5.6解壓兩次,然後在ilo裡直接升級 。
2018-09-28 09:46htxxvip
@寒山湖
好的,謝謝
2018-09-28 11:25Predator
麼麼噠
2018-09-28 11:31continuing
這類加密本來就慢。
尤其LZ你的還是視頻大文件。那就更慢瞭。
2018-09-28 12:23cannibal2008
最新的SPP鏡像能分享一下嗎?
2018-09-28 15:53寂靜狼
@cannibal2008
http://www.digiboy.ir/7968/hpe-s ... proliant-2018-06-0/
網上共享出來最新的隻有這個
hpe官網上已經更新到201809瞭
2018-09-28 16:09NetCobra
@continuing
原來是這樣……
這個時候原裝的賽揚G1610T CPU的“優勢”就顯出來瞭,運算速度太慢,加密不瞭幾個文件^-^ ……
2018-09-28 16:16NetCobra
@leojay
嗯,異地備份做不到,NAS上是用SyncThing做的熱備,有一塊8T硬盤做離線備份,不過離線備份有兩個月沒有更新瞭……
2018-09-28 16:36continuing
@NetCobra
因為這類加密不像某些偽混淆隻加密個文件頭之類的。而是整個文件數據跑一遍算法。。所以慢的一比。。一般勒索隻針對圖片文檔這類文件的原因也就是這個。文件小加密快得多。
2018-09-28 16:42lanqo
@寒山湖
我下載下來,怎麼不是壓縮包,不用解壓縮啊?
2018-09-28 16:49漫天飛雪的老師
不是,我想知道你的GEN為什麼會暴露在公網上面
2018-09-28 17:31NetCobra
@lanqo
用SevenZip,右鍵->7-Zip->打開壓縮包就可以瞭
2018-09-28 17:32NetCobra
@漫天飛雪的老師
帖子裡面說瞭,為瞭方便管理我把iLO的Console端口做瞭端口映射。
2018-09-28 20:40陶媽陶爸
這裡大神多,請教一個問題:HP Z210 SSF 增加原裝單口網卡,哪裡能查到兼容性表。
其實就是問:需要買HP原裝單口網卡,推薦下唄,HP Z210 SFF能用的短網卡^-^
2018-09-28 20:58coolkim
還好我不敢放公網上。。就在傢。。。

ILO2.61升級下能解決?明天升下
2018-09-28 22:22fzg001
趕緊更新瞭下ilo
2018-09-28 22:26小八
mark一下,不過這類大文件加密時間很久的
2018-09-28 22:30gzpony
同樣也學到這個教訓瞭
2018-09-29 02:27yan1990_y
我所有映射都改瞭端口…補丁都及時打
2018-09-29 08:39漫天飛雪的老師
@NetCobra
^-^ 你這也太大膽瞭,我建議3389開,然後再通過3389 進入ILO
2018-09-29 08:39漫天飛雪的老師
@NetCobra
^-^ 你這也太大膽瞭,我建議3389開,然後再通過3389 進入ILO
2018-09-29 09:2470034713
2.61支持中文嗎?請問
2018-09-29 09:25未名
我也廣播瞭,不過很久版本都是2.55
前段時間升級瞭2.61

不過ILO的管理員用戶默認並不是弱口令啊
是什麼漏洞
2018-09-29 09:3470034713
本帖最後由 70034713 於 2018-9-29 09:54 編輯
@寒山湖
支持中文?.自答一下:2.5的 語言包通用。

2018-09-29 11:59寒山湖
@70034713
應該通用,我就是原來的。
2018-09-29 14:53acafeiqq
這兩天我筆記本也遇到勒索病毒...比特幣給這些傢夥囂張的渠道 可惡
2018-09-30 06:03NetCobra
@漫天飛雪的老師
3389也不開的好,以前也爆過嚴重漏洞的。
要開的話最好用端口映射修改為暴露非默認端口映射到內網3389端口。
2018-09-30 08:58luckissy
這種最好別開外網訪問端口。通過V*N方式訪問就好瞭。
2018-09-30 09:06JunShine
小聲的問一下...那個VXN不是被XXX瞭嗎?用這個會不會被查個水表啥的?我的Gen8都是映射個四五位的端口遠程連著的。有點方.....
2018-09-30 09:08shen2980
破解你的ilo管理員密碼用瞭多長時間????????
2018-09-30 16:49NetCobra
@JunShine
連國外的V*N會被xxx,國內連國內應該沒事吧?
2018-09-30 16:50NetCobra
@shen2980
應該是利用瞭iLO的漏洞,估計一秒鐘都沒用,直接繞過授權系統就進來瞭……
2018-10-01 17:35cannibal2008
2018-10-01 19:47toshibacom
@cannibal2008
你這要**,我來給個不要**的,用迅雷速度還行。
2018.09
2018-10-01 20:35寒山湖
@toshibacom
地址呢?
2018-10-01 20:38toshibacom
本帖最後由 toshibacom 於 2018-10-1 20:43 編輯
@寒山湖
點擊2018.09啊,或者右鍵2018.09,選擇用迅雷下載,瀏覽器自己下載不快,隻有3MB左右,迅雷的話,可以到20MB---30MB,不穩,但也不算慢。
2018-10-02 03:21NetCobra
@cannibal2008
謝謝,已經下載升級
2018-10-02 05:12寒山湖
@寂靜狼
201809更新瞭什麼呢?
2018-10-02 09:23cigiti
@toshibacom
謝謝!已下載,速度還可以^-^
2018-10-02 09:50kkiller007
CPU差一點 加密就不會很快 上次我發現中招就幾小時 大概幾十g中招
2018-10-05 22:36寒山湖
@toshibacom
201809更新瞭什麼啊?
2018-10-05 22:39寒山湖
@寂靜狼
spp 201809更新瞭什麼?
2018-10-06 21:59szksmxf
@漫天飛雪的老師
3389開的話很危險,我服務器被當成瞭礦機。
第 1 页 / 共 1 页