VMware Açığından Etkilenen Sanal Sunucuyu Kurtarma
95
●16.590
- 11-02-2023, 15:50:44Yabancı kaynaklarda /etc/rc.local - /etc/rc.local.d/local.sh - /store/packages dizin ve dosyalarının kontrol edilmesi önerilmiş buralara python backdoor dosyası bırakılabileceği söylenmiş.nurettinozen adlı üyeden alıntı: mesajı görüntüle
Bizim müşterilerden 25 kadar sunucu etkilendi.
SLP servisi hem kapatıldı hem de kendi kendine açılma riskine karşılık ip izni tanımlandı. 6.5 ve 6.7 sunuculara yamanın yayınladığı ekim 2022 güncellemesini uyguladık. Daha eski sürümler için yama olmadığından güncelleme yapılamadı. Bunlara Türk isp bloklarına göre erişim izni verildi.
Şu an için yeni bir aktivite gözlemlemedik. - 11-02-2023, 18:41:45Merhabalar,
Çoğu kişi önlemini aldı artık bu durumun pekte yaşanacağını düşünmüyorum ama yine de hiç haberdar olmayanlar için bu konu faydalı bir döküman olacaktır. @YasakLi; arkadaşımıza da teşekkür ediyorum. Kendisinin de dediği gibi boot bölümlerini repair edebilirsiniz. Linux u kurtarmak için https://linuxconfig.org/how-to-recov...table-in-linux burada görselli bir anlatım var. Mantık aynıdır testdisk kullanılarak linux boot onarılıyor ihtiyaç olursa buna bakabilirsiniz. Bu yöntemle bir kaç linux u onardık normal bir şekilde boot oldular. Testdisk Windows boot kısmını da repair edebiliyor https://www.partitionwizard.com/disk...-testdisk.html burada göz atabilirsiniz. Windows için bir kaç anlatım mevcut. Kullanıcılar ilk olarak .vmdk yı onarsın genelde sunucu normal açılıyor. Olmazsa boot repair yapsınlar buda olmazsa son çare .vmdk yı açıp dosyalarını çeksinler. - 12-02-2023, 14:48:40Bir arkadaşımın ricası üzerine bir windowsu yönteminiz ile aktif ettim teşekkür ederim, linux için farklı yapılar ile denemeler yaparak birçok sunucuyu ayağa kaldırdık. Linux için yardımcı olmamı isteyen arkadaşlara ücretsiz yardımcı olabilirim.
- 12-02-2023, 17:10:20Merhaba arkadaşlar,
Sanırım bugün yine aynı hack olayı yaşanmış. Bu ESXi güncellemeyen sunucularda meydana gelmiş. Konuda sunucunuzu kurtardıktan sonra ESXi sürümünü güncellemenizi söylemiştik. ESXi üzerinde işiniz bittikten sonra şu adımları takip edin ;
ESXi 6.5 6.7 veya 7.0 kullanıyorsanız ;
ESXi 6.5 kullanıyorsanız http://ftp.siberdc.com:8080/ftpfile/...1-standard.iso ISO dosyasını indirin ve sunucunuza bu ISO ile kurulum yapın.
ESXi 6.7 kullanıyorsanız http://ftp.siberdc.com:8080/ftpfile/...138.x86_64.iso ISO dosyasını indirin ve sunucunuza bu ISO ile kurulum yapın.
ESXi 7.0 kullanıyorsanız http://ftp.siberdc.com:8080/ftpfile/...6-standard.iso ISO dosyasını indirin ve sunucunuza bu ISO ile kurulum yapın.
Kurulum yaparken aşağıdaki gibi " Install ESXi, preserve VMFS datastore " seçeneğini seçin. Bu seçenek ESXi' ı sıfırdan kuracaktır ve datastore içindeki sanal sunucuları yani .vmdk dosyalarını silmeyecek koruyacaktır. Sadece ESXi sürümünü sıfırdan kuracaktır.

Ek olarak ESXi 6.7 kullanıyorsanız kurulumdan sonra bir upgrade yapmanız gerekiyor. Bunun için ;
http://ftp.siberdc.com:8080/ftpfile/...-202210001.zip bu dosyayı indirip datastore içine atın. Ardından SSH' a girip ;
esxcli software profile update -d /vmfs/volumes/datastorexxx/ESXi670-202210001.zip -p ESXi-6.7.0-20221004001-standard
komutunu çalıştırın. Burada "datastorexxx" yerine .zip dosyasının olduğu datastore adını yazın. Kurulum bittikten sonra reboot atın ve sunucuyu yeniden başlatın. ÖNEMLİ NOT : Eğer ESXi 6.7 kullanacaksanız bu upgrade işlemini yapın ESXi 6.7 veya 7.0 için bu işleme gerek yok sadece sıfırdan kurulum yeterli. Ayrıca mevcut virüs yemiş ESXi 6.7 sunucunuza sadece upgrade yapmak bir işe yaramaz çünkü içinde backdoor mevcut. Bu yüzden ne olursa olsun sıfırdan ESXi 6.7 kurmalı ve sonra upgrade yapmalısınız.
ESXi 6.5 6.7 veya 7.0 kurulum bittikten sonra ESXi SSH üzerinden her ihtimale karşı SLP servisini kapatın. Bunun için şu kodu yazın ;
/etc/init.d/slpd stop && esxcli network firewall ruleset set -r CIMSLP -e 0 && chkconfig slpd off && chkconfig --list | grep slpd
Ardından ESXi arayüzünde Networking > Firewall Rules alanında aşağıdaki kuralları dış IP adreslerine kapatın.
SSH Server vSphere Web Client vSphere Web Access NFC VMware vCenter Agent
Örnek SSH Server için bu sadece 1.1.1.1 IP adresinin erişime izin verdik. Siz bağlanabilecek IP adreslerinizi yazın 1.1.1.1, 2.2.2.2 vs. gibi. Bu kuralı yukarıdaki 5 servise uygulayın.

Saygılarımızla,
SiberDC - 12-02-2023, 18:30:49Hocam öncelikle geçmiş olsun. İp erişimi için sınırlama yapmış mıydınıznurettinozen adlı üyeden alıntı: mesajı görüntüle
- 12-02-2023, 18:54:00İşlemi abd deki bir arkadaş yapmıştı, sınırlama yapmamış gibi görünüyor. Konuya ben el attım. Vmdk içindeki dosyaları dışarıya aktarmaya çalışıyoruz fakat boyutlar büyük olduğu için bu işlem çok uzun sürüyor maalesef.Flexible adlı üyeden alıntı: mesajı görüntüle
@mselim; hocam R-Studio da içerideki veriler sağlam gibi görünüyor. Amerikalı bir arkadaş bu konuya destek veriyor ama ilerleyebildiğini düşünmüyorum. Bu konuda bize birebir yardım etme şansınız mevcut mu, en azından vmdk nın durumunu kontrol etmeniz mümkün olur mu? Boyut 9tb olduğu için bu konu beni korkutuyor. Yurt dışında yaptığımız işi kaybetmek üzereyiz. - 12-02-2023, 19:10:42Arkadaşımıza ulaştım anında yardımcı oldu 15 dk içerisinde sunucular aktif hale geldi teşekkür ederim.Prode adlı üyeden alıntı: mesajı görüntüle
- 13-02-2023, 07:52:15sizin adınıza üzüldüm neredeyse 1 haftadır @YasakLi; ile birlikte belki 15-20 tane farklı teknik denedik her sunucu birbirinden farklı bir yöntemle ayağa kaldırılabiliyor. şimdiye kadar sunucuların windows linux karışık %90 belki fazlasını çözüme kavuşturduk. ama ikinci dalga hakkında bir bilgim yok olsunda istemem açıkçasınurettinozen adlı üyeden alıntı: mesajı görüntüle
tam olarak ne yapıldığını yazarsanız belki yardımcı olabiliriz.


tam olarak ne yapıldığını yazarsanız belki yardımcı olabiliriz.