|危险!全球未打补丁的VMware ESXi 服务器被勒索组织盯上了( 二 )
修改VMX文件
接下来 , 该脚本将强制结束 (kill -9) 所有包含字符串“ vmx ”的进程 , 从而终止所有正在运行的虚拟机 。 随后将使用“esxcli storage filesystem list | grep \"/vmfs/volumes/\" | awk -F' ' '{print $2
”命令获取 ESXi卷列表 , 搜索与.vmdk、.vmx、.vmxf、.vmsd、.vmsn、.vswp、.vmss、.nvram、.vmem扩展名匹配的文件 。 每找到一个文件 , 脚本将在同一文件夹中创建一个 [file_name
.args 文件 , 其中包含计算出的大小步长、“1”和文件大小 , 例如 , server.vmx 将有一个关联的 server.vmx.args 文件 。 之后 , 脚本将使用'encrypt'可执行文件 , 根据计算出的参数对文件进行加密 。
创建.args文件和加密文件的例程
加密后 , 脚本将用赎金票据替换 ESXi index.html 文件和服务器的 motd 文件 。 最后 , 该脚本将删除似乎安装到/store/packages/vmtools.py[ VirusTotal
的后门 , 并从以下文件中删除多行:
/var/spool/cron/crontabs/root
/bin/hostd-probe.sh
/etc/vmware/rhttpproxy/endpoints.conf
/etc/rc.local.d/local.sh
清理各种 Linux 配置文件和潜在后门
【|危险!全球未打补丁的VMware ESXi 服务器被勒索组织盯上了】这种清理和对 /store/packages/vmtools.py的应用与瞻博网络(juniper)在 2022 年 12 月观察到的 ESXi 服务器的自定义 Python 后门非常相似 。 为此所有服务器管理员都应该检查此 vmtools.py 文件是否存在 , 以确保它已被删除 。
- 本文转自:杭州日报vivo全球AI研发中心施工现场。|三把“金钥匙” 打开余杭“拼经济”新大门
- 海信|奥维睿沃:海信系电视2022年12月出货量登顶全球第一
- 游戏本|2022Q4全球手机销量出炉,OPPO第四!产品力与创新力推动市场表现
- 半导体|全球抗中半导体联盟已“接近”完成
- TCL|TCL电子逆势上涨:2022年销量稳居全球前二,高端智屏创收喜人
- 小米科技|全球芯片,大逆转
- 人工智能|全球爆红的聊天机器人ChatGPT仅用13天做出:还是个老版本
- 魅族|全球销量暴跌,今年换机会当大冤种吗?
- AMD|2022年全球芯片销售额创新高 中国仍是第一大市场
- 作为全球知名的高端电竞游戏品牌|alienware外星人推出四款全新笔记本电脑