• 11-02-2023, 15:36:54
    #82
    elinize sağlık anlatımınız için.
  • 11-02-2023, 15:50:44
    #83
    sunucuoptimizasyon.com
    nurettinozen adlı üyeden alıntı: mesajı görüntüle
    Özellikle OpenSLP 427 yi kapatıp mevcut vmware ı tamir etmiştik. Backdoor olabilme veya açığın farklı bir yerde olduğuyla ilgili şüphelerim var.
    Yabancı kaynaklarda /etc/rc.local - /etc/rc.local.d/local.sh - /store/packages dizin ve dosyalarının kontrol edilmesi önerilmiş buralara python backdoor dosyası bırakılabileceği söylenmiş.

    Bizim müşterilerden 25 kadar sunucu etkilendi.

    SLP servisi hem kapatıldı hem de kendi kendine açılma riskine karşılık ip izni tanımlandı. 6.5 ve 6.7 sunuculara yamanın yayınladığı ekim 2022 güncellemesini uyguladık. Daha eski sürümler için yama olmadığından güncelleme yapılamadı. Bunlara Türk isp bloklarına göre erişim izni verildi.

    Şu an için yeni bir aktivite gözlemlemedik.
  • 11-02-2023, 18:41:45
    #84
    Platin üye
    Merhabalar,

    Çoğu kişi önlemini aldı artık bu durumun pekte yaşanacağını düşünmüyorum ama yine de hiç haberdar olmayanlar için bu konu faydalı bir döküman olacaktır. @YasakLi; arkadaşımıza da teşekkür ediyorum. Kendisinin de dediği gibi boot bölümlerini repair edebilirsiniz. Linux u kurtarmak için https://linuxconfig.org/how-to-recov...table-in-linux burada görselli bir anlatım var. Mantık aynıdır testdisk kullanılarak linux boot onarılıyor ihtiyaç olursa buna bakabilirsiniz. Bu yöntemle bir kaç linux u onardık normal bir şekilde boot oldular. Testdisk Windows boot kısmını da repair edebiliyor https://www.partitionwizard.com/disk...-testdisk.html burada göz atabilirsiniz. Windows için bir kaç anlatım mevcut. Kullanıcılar ilk olarak .vmdk yı onarsın genelde sunucu normal açılıyor. Olmazsa boot repair yapsınlar buda olmazsa son çare .vmdk yı açıp dosyalarını çeksinler.
  • 12-02-2023, 14:48:40
    #85
    Bir arkadaşımın ricası üzerine bir windowsu yönteminiz ile aktif ettim teşekkür ederim, linux için farklı yapılar ile denemeler yaparak birçok sunucuyu ayağa kaldırdık. Linux için yardımcı olmamı isteyen arkadaşlara ücretsiz yardımcı olabilirim.
  • 12-02-2023, 17:10:20
    #86
    Platin üye
    Merhaba arkadaşlar,

    Sanırım bugün yine aynı hack olayı yaşanmış. Bu ESXi güncellemeyen sunucularda meydana gelmiş. Konuda sunucunuzu kurtardıktan sonra ESXi sürümünü güncellemenizi söylemiştik. ESXi üzerinde işiniz bittikten sonra şu adımları takip edin ;

    ESXi 6.5 6.7 veya 7.0 kullanıyorsanız ;

    ESXi 6.5 kullanıyorsanız http://ftp.siberdc.com:8080/ftpfile/...1-standard.iso ISO dosyasını indirin ve sunucunuza bu ISO ile kurulum yapın.
    ESXi 6.7 kullanıyorsanız http://ftp.siberdc.com:8080/ftpfile/...138.x86_64.iso ISO dosyasını indirin ve sunucunuza bu ISO ile kurulum yapın.
    ESXi 7.0 kullanıyorsanız http://ftp.siberdc.com:8080/ftpfile/...6-standard.iso ISO dosyasını indirin ve sunucunuza bu ISO ile kurulum yapın.

    Kurulum yaparken aşağıdaki gibi " Install ESXi, preserve VMFS datastore " seçeneğini seçin. Bu seçenek ESXi' ı sıfırdan kuracaktır ve datastore içindeki sanal sunucuları yani .vmdk dosyalarını silmeyecek koruyacaktır. Sadece ESXi sürümünü sıfırdan kuracaktır.



    Ek olarak ESXi 6.7 kullanıyorsanız kurulumdan sonra bir upgrade yapmanız gerekiyor. Bunun için ;

    http://ftp.siberdc.com:8080/ftpfile/...-202210001.zip bu dosyayı indirip datastore içine atın. Ardından SSH' a girip ;

    esxcli software profile update -d /vmfs/volumes/datastorexxx/ESXi670-202210001.zip -p ESXi-6.7.0-20221004001-standard
    komutunu çalıştırın. Burada "datastorexxx" yerine .zip dosyasının olduğu datastore adını yazın. Kurulum bittikten sonra reboot atın ve sunucuyu yeniden başlatın. ÖNEMLİ NOT : Eğer ESXi 6.7 kullanacaksanız bu upgrade işlemini yapın ESXi 6.7 veya 7.0 için bu işleme gerek yok sadece sıfırdan kurulum yeterli. Ayrıca mevcut virüs yemiş ESXi 6.7 sunucunuza sadece upgrade yapmak bir işe yaramaz çünkü içinde backdoor mevcut. Bu yüzden ne olursa olsun sıfırdan ESXi 6.7 kurmalı ve sonra upgrade yapmalısınız.

    ESXi 6.5 6.7 veya 7.0 kurulum bittikten sonra ESXi SSH üzerinden her ihtimale karşı SLP servisini kapatın. Bunun için şu kodu yazın ;

    /etc/init.d/slpd stop && esxcli network firewall ruleset set -r CIMSLP -e 0 && chkconfig slpd off && chkconfig --list | grep slpd
    Ardından ESXi arayüzünde Networking > Firewall Rules alanında aşağıdaki kuralları dış IP adreslerine kapatın.

    SSH Server
    vSphere Web Client
    vSphere Web Access
    NFC
    VMware vCenter Agent
    Örnek SSH Server için bu sadece 1.1.1.1 IP adresinin erişime izin verdik. Siz bağlanabilecek IP adreslerinizi yazın 1.1.1.1, 2.2.2.2 vs. gibi. Bu kuralı yukarıdaki 5 servise uygulayın.


    Saygılarımızla,
    SiberDC
  • 12-02-2023, 18:30:49
    #87
    nurettinozen adlı üyeden alıntı: mesajı görüntüle
    Özellikle OpenSLP 427 yi kapatıp mevcut vmware ı tamir etmiştik. Backdoor olabilme veya açığın farklı bir yerde olduğuyla ilgili şüphelerim var.
    Hocam öncelikle geçmiş olsun. İp erişimi için sınırlama yapmış mıydınız
  • 12-02-2023, 18:54:00
    #88
    Flexible adlı üyeden alıntı: mesajı görüntüle
    Hocam öncelikle geçmiş olsun. İp erişimi için sınırlama yapmış mıydınız
    İşlemi abd deki bir arkadaş yapmıştı, sınırlama yapmamış gibi görünüyor. Konuya ben el attım. Vmdk içindeki dosyaları dışarıya aktarmaya çalışıyoruz fakat boyutlar büyük olduğu için bu işlem çok uzun sürüyor maalesef.

    @mselim; hocam R-Studio da içerideki veriler sağlam gibi görünüyor. Amerikalı bir arkadaş bu konuya destek veriyor ama ilerleyebildiğini düşünmüyorum. Bu konuda bize birebir yardım etme şansınız mevcut mu, en azından vmdk nın durumunu kontrol etmeniz mümkün olur mu? Boyut 9tb olduğu için bu konu beni korkutuyor. Yurt dışında yaptığımız işi kaybetmek üzereyiz.
  • 12-02-2023, 19:10:42
    #89
    Prode adlı üyeden alıntı: mesajı görüntüle
    Bir arkadaşımın ricası üzerine bir windowsu yönteminiz ile aktif ettim teşekkür ederim, linux için farklı yapılar ile denemeler yaparak birçok sunucuyu ayağa kaldırdık. Linux için yardımcı olmamı isteyen arkadaşlara ücretsiz yardımcı olabilirim.
    Arkadaşımıza ulaştım anında yardımcı oldu 15 dk içerisinde sunucular aktif hale geldi teşekkür ederim.
  • 13-02-2023, 07:52:15
    #90
    nurettinozen adlı üyeden alıntı: mesajı görüntüle
    2. Dalga saldırı aldık. Bu sefer bu çözüm maalesef işe yaramadı. Çözüm üretmeye çalışıyoruz.
    sizin adınıza üzüldüm neredeyse 1 haftadır @YasakLi; ile birlikte belki 15-20 tane farklı teknik denedik her sunucu birbirinden farklı bir yöntemle ayağa kaldırılabiliyor. şimdiye kadar sunucuların windows linux karışık %90 belki fazlasını çözüme kavuşturduk. ama ikinci dalga hakkında bir bilgim yok olsunda istemem açıkçası tam olarak ne yapıldığını yazarsanız belki yardımcı olabiliriz.