Merhaba arkadaşlar,

Sanırım bugün yine aynı hack olayı yaşanmış. Bu ESXi güncellemeyen sunucularda meydana gelmiş. Konuda sunucunuzu kurtardıktan sonra ESXi sürümünü güncellemenizi söylemiştik. ESXi üzerinde işiniz bittikten sonra şu adımları takip edin ;

ESXi 6.5 6.7 veya 7.0 kullanıyorsanız ;

ESXi 6.5 kullanıyorsanız http://ftp.siberdc.com:8080/ftpfile/...1-standard.iso ISO dosyasını indirin ve sunucunuza bu ISO ile kurulum yapın.
ESXi 6.7 kullanıyorsanız http://ftp.siberdc.com:8080/ftpfile/...138.x86_64.iso ISO dosyasını indirin ve sunucunuza bu ISO ile kurulum yapın.
ESXi 7.0 kullanıyorsanız http://ftp.siberdc.com:8080/ftpfile/...6-standard.iso ISO dosyasını indirin ve sunucunuza bu ISO ile kurulum yapın.

Kurulum yaparken aşağıdaki gibi " Install ESXi, preserve VMFS datastore " seçeneğini seçin. Bu seçenek ESXi' ı sıfırdan kuracaktır ve datastore içindeki sanal sunucuları yani .vmdk dosyalarını silmeyecek koruyacaktır. Sadece ESXi sürümünü sıfırdan kuracaktır.



Ek olarak ESXi 6.7 kullanıyorsanız kurulumdan sonra bir upgrade yapmanız gerekiyor. Bunun için ;

http://ftp.siberdc.com:8080/ftpfile/...-202210001.zip bu dosyayı indirip datastore içine atın. Ardından SSH' a girip ;

esxcli software profile update -d /vmfs/volumes/datastorexxx/ESXi670-202210001.zip -p ESXi-6.7.0-20221004001-standard
komutunu çalıştırın. Burada "datastorexxx" yerine .zip dosyasının olduğu datastore adını yazın. Kurulum bittikten sonra reboot atın ve sunucuyu yeniden başlatın. ÖNEMLİ NOT : Eğer ESXi 6.7 kullanacaksanız bu upgrade işlemini yapın ESXi 6.7 veya 7.0 için bu işleme gerek yok sadece sıfırdan kurulum yeterli. Ayrıca mevcut virüs yemiş ESXi 6.7 sunucunuza sadece upgrade yapmak bir işe yaramaz çünkü içinde backdoor mevcut. Bu yüzden ne olursa olsun sıfırdan ESXi 6.7 kurmalı ve sonra upgrade yapmalısınız.

ESXi 6.5 6.7 veya 7.0 kurulum bittikten sonra ESXi SSH üzerinden her ihtimale karşı SLP servisini kapatın. Bunun için şu kodu yazın ;

/etc/init.d/slpd stop && esxcli network firewall ruleset set -r CIMSLP -e 0 && chkconfig slpd off && chkconfig --list | grep slpd
Ardından ESXi arayüzünde Networking > Firewall Rules alanında aşağıdaki kuralları dış IP adreslerine kapatın.

SSH Server
vSphere Web Client
vSphere Web Access
NFC
VMware vCenter Agent
Örnek SSH Server için bu sadece 1.1.1.1 IP adresinin erişime izin verdik. Siz bağlanabilecek IP adreslerinizi yazın 1.1.1.1, 2.2.2.2 vs. gibi. Bu kuralı yukarıdaki 5 servise uygulayın.


Saygılarımızla,
SiberDC