SanCi

凡是用HP Gen8做黑群的,即刻升级ILO版本到2.61 非常重要
今天在CHH看到一个帖子描述: “Gen8被黑了,发现的时候iLO管理员密码被改无法登录,Windows管理员密码...
扫描右侧二维码阅读全文
22
2018/11

凡是用HP Gen8做黑群的,即刻升级ILO版本到2.61 非常重要

今天在CHH看到一个帖子描述:
“Gen8被黑了,发现的时候iLO管理员密码被改无法登录,Windows管理员密码被改无法登录,Windows内的Debian虚拟机直接被干掉(虚拟机文件被加密)。
事后检查发现是被感染了GANDCRAB V4病毒,SSD系统盘上两个分区已经完全被加密(除了Windows和虚拟磁盘文件没有重要文件),不幸中的大幸是仓库盘上只有大约50G的美剧被加密,照片、文档都没有问题,从Debian虚拟机共享的文件有没有被加密,另一个备份NAS上共享的文件也没有被加密。”

基本过程:
用系统管理员登录,创建用户bu9eRiw
用此用户远程登录打开Remote Console,用脚本挂载虚拟媒体镜像,远程登录地址是hosted-by.euservr.com 提供的VPS
重启Server(估计病毒就是在这个过程中感染系统的),删除iLO内置的Administrator管理员
后面多次重启系统,不知道是什么操作
最后,还把服务器从HP Insight Online注销,大概是为了避免有警告消息发给管理员,给病毒争取时间进行文件加密?

另外,被删除的hphp和hphp3两个用户也是被黑了添加进来的,查了一下日志,发现是2018-08-11添加的,说明早就被盯上了。

整个流程上设计非常险恶,iLO管理员被删、Windows管理员密码被修改,绝对会推迟发现问题的时间,一切的设计都是为了给勒索病毒争取时间进行加密。

Google了一下,这种感染方式几个月前就有了:https://sensorstechforum.com/5000-hpe-ilo-4-interfaces-hit-ransomware/,其中利用到了两个漏洞CVE-2013-4786和CVE-2017-12542,HP官方网站上最后更新日期分别是2018-06-13和2018-05-08,iLO升级到最新的2.61(最新的SSP包中是2.60,2018-08-06提供了单独的2.61下载)应该可以解决这两个漏洞。

看到这篇帖子后我登录了我的GEN8的iLO 结果发现居然也中招了 ...
Snap.jpg

连增加的超级用户名字都一样,万幸的是我是直接用GEN8做的黑群,并且开了两步验证所以文件没有被加密。从日志上来看已经被黑几个月...添加管理员的IP是俄罗斯的...

吓的我赶紧删除新增的管理员账户后再升级iLO版本。

HP ILO 2.61 下载页面:
https://support.hpe.com/hpsc/swd/public/detail?swItemId=MTX_fa40c1bfdb924daf87a10fa810
iLO 2.61 直接下载地址(可能会失效),文件名:CP036949.scexe (13 MB)
https://downloads.hpe.com/pub/softlib2/software1/sc-linux-fw-ilo/p192122427/v154294/CP036949.scexe
iLO 2.61 本地下载:
iLO2.61.zip

下载的文件需要winrar5.6解压两次,然后在ilo里直接升级 解压后扩展名是.bin的文件。
因为是用漏洞登录的,所以管理员密码设置的再复杂也没用,我主要是修改了默认管理员的名称所以内置的管理员账户没有被删除,不然还要好一番折腾。
当然没有做ILO端口映射的应该不受影响,但是升级下总归没有坏处的。


随机一言(显示内容与本文关)
Last modification:November 22nd, 2018 at 12:17 am
If you think my article is useful to you, please feel free to appreciate

Leave a Comment