前言
目前虚拟机文件怎么恢复 虚拟机数据恢复软件教程,CNNA发现一种针对VMware ESXi服务器的新型勒索病毒(ESXiArgs)正在全球大规模传播,该勒索病毒于今年2月开始大规模出现,截至2月11日,全球已有超过3800台服务器受到感染,多台服务器受损,中国境内约有数十台服务器受到影响。
国内受该漏洞影响的服务器数量如下(基于Shodan统计):
ESXiArg 简介
VMware ESXi是美国公司VMware发布的一款虚拟机管理软件,用于创建和运行虚拟机与虚拟设备。近日,一场针对VMware ESXi服务器的大规模勒索病毒攻击席卷全球,包括法国、芬兰、加拿大、美国、意大利等国家在内的数千台服务器遭到黑客攻击。攻击者利用了2021年2月披露的一个高危漏洞(CNVD-2021-12321),漏洞详情如下:攻击者可以向VMware ESXi软件的目标服务器的427端口发送恶意构造的数据包,从而触发OpenSLP服务堆缓冲区溢出,执行任意代码。该漏洞影响:VMware ESXi70U1c-17325551 7.0版本 VMware ESXi670-202102401-SG 6.7版本 VMware ESXi650-202102101-SG 6.5版本。
风险筛查
自我检查勒索软件风险
步骤1:检查/store/packages/目录下是否存在vmtools.py后门文件,若存在建议立即删除该文件。
步骤2:检查/tmp/目录下是否存在encrypt、encrypt.sh、public.pem、motd、index.html文件,若存在则立即删除。
漏洞自检
1.检查 ESXi 版本
方法一:登录EXSi后台,点击帮助-关于获取版本号。
方法二:访问EXSi终端,输入“vmware -vl”命令获取版本号。
2.检查OpenSLP服务是否已启用
进入EXSi终端,输入“chkconfig --list | grep slpd”命令,查看OpenSLP服务是否开启,输出结果为“slpd on”表示开启,输出结果为“slpd off”表示关闭。
若ESXi版本在漏洞范围内,且开启了OpenSLP服务,则可能会受到此漏洞的影响。
勒索病毒处理建议
步骤1:立即隔离受感染的服务器并断开其与互联网的连接;
步骤 2:使用数据恢复工具恢复数据或重新安装 ESXi
美国CISA公布ESXiArgs勒索病毒恢复脚本虚拟机文件怎么恢复 虚拟机数据恢复软件教程,相关链接:
步骤3:重复“勒索病毒风险自检”步骤;
步骤 4:恢复一些修改过的文件
(1)检查/usr/lib/vmware目录下的index.html文件是否为勒索信,若是,请立即删除该文件。
(2)检查/etc/目录下是否存在motd文件,若存在则立即删除。
加固措施
根据漏洞信息,目前有两种解决方案:
VMware ESXI 版本升级
将存在漏洞的VMware升级至已修复此漏洞的版本,具体实施步骤如下:
1. 准备
1)通过ESXI主页检查当前ESXI版本
2)在官网找到需要更新的版本补丁(链接:)
2.停用或迁移 ESXi 上的虚拟机
更新前请记得先快照并关闭虚拟机或将主机上的虚拟机迁移到其他主机上,升级完成后主机系统会重启,避免主机重启导致虚拟机意外断电,以及正在运行的业务系统出现故障。
3.进入维护模式,启用ssh
4.将更新包复制到ESXI
1)将更新包上传到主机存储,系统数据盘的位置信息为补丁的存放位置,补丁需要存放在这个位置,系统才能识别补丁文件。
2)然后将补丁上传到存储。
5.执行更新并重启主机
1)使用xshell等SSH登录工具登录ESXI,进入“补丁文件存放位置”查看补丁是否上传成功。找到补丁配置文件名,命令如下:
esxcli 软件源配置文件列表 -d “修补程序存储位置”
2)安装补丁命令:esxcli software vib install -d “补丁存放位置”。 (注意:补丁存放位置路径必须用双引号括起来)
3)安装成功后,会出现类似Message: The update done successful的日志信息:
4)安装完成后,重启
5)重启完成后,如果正常则测试成功!
禁用 SLP 服务
此方案实施前有个前提条件:目前没有任何业务系统使用SLP服务,即427端口已关闭。这有一定的局限性,但此方案最简单。具体步骤如下:
1、开启虚拟机SSH服务,使用xshell等SSH登录工具进入ESXI
2.使用以下命令停止 ESXI 主机上的 SLP 服务:
/etc/init.d/slpd 停止
注意:SLP服务只有在不使用时才可以停止,可以使用以下命令查看SLP服务的使用情况:
esxcli 系统 slp 统计信息获取
3. 运行以下命令,禁用SLP服务:
esxcli 网络防火墙规则集设置 -r CIMSLP -e 0
要使此更改在重新启动后继续生效,请输入以下命令:
chkconfig slpd 关闭
重启命令后检查修改是否生效:
chkconfig –listgrep | slpd
输出:slpd 的
应急计划
若升级失败,VMware应该通过备份数据及时恢复到原先的状态,保证重要的数据服务能够保持原有的状态。
1、下载当前使用的VMware ESXI版本镜像文件,若升级失败,则立即安装上一个VMware版本。
2、备份VMware中所有虚拟机,以便出现意外情况时能够及时恢复。
