凡是用HP Gen8做黑群的，即刻升级ILO版本到2.61 非常重要

2019-03-19 03:46

limonxu2019-03-19 03:46
今天在CHH看到一个帖子描述

Gen8被黑了，发现的时候iLO管理员密码被改无法登录，Windows管理员密码被改无法登录，Windows内的Debian虚拟机直接被干掉（虚拟机文件被加密）。

事后检查发现是被感染了GANDCRAB V4病毒，SSD系统盘上两个分区已经完全被加密（除了Windows和虚拟磁盘文件没有重要文件），不幸中的大幸是仓库盘上只有大约50G的美剧被加密，照片、文档都没有问题，从Debian虚拟机共享的文件有没有被加密，另一个备份NAS上共享的文件也没有被加密。

基本过程：
- 用系统管理员登录，创建用户bu9eRiwa
- 用此用户远程登录打开Remote Console，用脚本挂载虚拟媒体镜像，远程登录地址是hosted-by.euservr.com提供的VPS
- 重启Server（估计病毒就是在这个过程中感染系统的），删除iLO内置的Administrator管理员
- 后面多次重启系统，不知道是什么操作
- 最后，还把服务器从HP Insight Online注销，大概是为了避免有警告消息发给管理员，给病毒争取时间进行文件加密？
另外，被删除的hphp和hphp3两个用户也是被黑了添加进来的，查了一下日志，发现是2018-08-11添加的，说明早就被盯上了。

整个流程上设计非常险恶，iLO管理员被删、Windows管理员密码被修改，绝对会推迟发现问题的时间，一切的设计都是为了给勒索病毒争取时间进行加密。

Google了一下，这种感染方式几个月前就有了：https://sensorstechforum.com/500 ... ces-hit-ransomware/，其中利用到了两个漏洞CVE-2013-4786和CVE-2017-12542，HP官方网站上最后更新日期分别是2018-06-13和2018-05-08，iLO升级到最新的2.61（最新的SSP包中是2.60，2018-08-06提供了单独的2.61下载）应该可以解决这两个漏洞。
-----------------------------
看到这篇帖子后我登录了我的GEN8的ILO 结果发现居然也中招了...

连增加的超级用户名字都一样，万幸的是我是直接用GEN8做的黑群，并且开了两步验证所以文件没有被加密。从日志上来看已经被黑几个月...添加管理员的IP是俄罗斯的...

吓的我赶紧删除新增的管理员账户后再升级ILO版本。

ILO 2.61下载地址

https://support.hpe.com/hpsc/swd/public/detail?swItemId=MTX_fa40c1bfdb924daf87a10fa810以上是转帖
2Bpencil2019-03-19 03:51
谢谢转帖，刚收了台gen8，准备装windows，还不知道怎么装驱动的路过
shamorry2019-03-19 03:53
突发奇想，给黑裙换一块速度最慢的CPU是不是能争取时间？
礼拜二2019-03-19 03:58
mark 回去看看
qinershi2019-03-19 04:08
iLo进来也不能访问系统吧，还有密码，没太理解。
biff2019-03-19 04:12
怎么会公网能直接访问
ypow2019-03-19 04:21
ilo密码都忘了 iOS fly ~
marshal2019-03-19 04:31
ilo 可以remote console 啊，文中不是说了，虚拟镜像引导。那就可以为所欲为了
qinershi2019-03-19 04:33
回复10#marshal

那要赶紧回去看看了，十多年的照片啊。
mamore2019-03-19 04:40
黑裙你怕啥 win 跑不掉iOS fly ~
wildsalt2019-03-19 04:42
那么白群呢？
漫咖啡2019-03-19 04:44
我把oli口的网线拔了……
shadow122019-03-19 04:46
没有空闲的网口 ilo根本没连网线
kaola71802019-03-19 04:47
怪不得黑群常常有俄罗斯的IP不断登陆，不过被拉黑了小尾巴~
helleon2019-03-19 04:48
ilo口可以合并到LAN1
tsonglin2019-03-19 04:51
gen8有没有更新rom，这样装windowsserver的时候就不需要加载那个raid驱动了
navyyang2019-03-19 05:16
ILO外网访问是80端口么？
zzy99032019-03-19 05:19
ilo网口不插网线也不跟黑裙网口复用是不是就没事了？ iOS fly ~
songco2019-03-19 05:24
所以各种系统积极升级最新的正式版是很重要的
SaveCat2019-03-19 07:28
要怎么升级呢？
NetCobra2019-03-19 07:33
哈哈，那个帖子是我发的

主要原因是我为了管理方便把iLO的管理端口都直接暴露到Internet上了，结果由于iLO的漏洞导致被黑。

发了那个帖子之后看回复有不少人都被黑了……

答案是是的！但是前提是病毒是对整个文件加密。
我的Gen8没有换CPU，还是G1610T，这么弱的CPU导致感染8小时后只加密了不到300G的数据……

不是对所有病毒都管用，有些病毒只加密文件头部数据，那CPU再弱也会导致损失惨重。
zxy_90232019-03-19 07:35
黑客千方百计以为黑进一台企业服务器，结果是存的全尼玛大姐姐。
limonxu2019-03-19 08:41
最新的ROMhttps://support.hpe.com/hpsc/swd/public/detail?sp4ts.oid=5390291&swItemId=MTX_6b1c2c169d8a46c79eb87027ce&swEnvOid=4184
limonxu2019-03-19 08:50
通过OLI升级https://www.mobibrw.com/2017/8442
tsonglin2019-03-19 09:07
回复28#limonxu

谢谢，这个链接是gen8的bios不是spp吧？怎么升级？
limonxu2019-03-19 09:13
我搞错了，是BIOS，rom我没关注啊https://support.hpe.com/hpesc/public/home/driverHome?sp4ts.oid=5390291&pmrsr=0,在这里找找看看
https://support.hpe.com/hpsc/swd/public/detail?sp4ts.oid=5390291&swItemId=MTX_ed7f1fb139a44d96920d9a923c&swEnvOid=4184
tsonglin2019-03-19 09:20
回复31#limonxu

奇怪，我照楼上你提供的链接刷完bios以后，看诊断里，版本没变啊，晕了
yrpen2019-03-19 09:24
在不重启系统的情况下怎么重启ilo，我的ilo离线好久了，不知道怎么回事儿
kingchy2019-03-19 09:26
最新的貌似是2.61b:https://support.hpe.com/hpsc/swd ... &swEnvOid=4184#
limonxu2019-03-19 10:32
我也碰到过，再刷刷看，要重启系统
毛毛卷2019-03-19 10:42
回去看一下升级升级 iOS fly ~
navyyang2019-03-19 10:47
刷完好象要重启系统，我前段时间刷了。
lovemu2019-03-19 10:48
很早在地板就有帖子啦，我以为会有新的。
tsonglin2019-03-19 11:06
回复35#limonxu

果然重启后就好了，谢谢
tsonglin2019-03-19 11:07
回复37#navyyang

的确需要重启，谢谢
limonxu2019-03-19 11:10
压缩包里面都是ILO2.60
莱芙丝黛尔2019-03-19 11:41
ilo跟bios两回事
bios升不升级不重要
晓樵2019-03-20 12:17
ilo是80端口啊。。一般不都访问不了么
lvmu20042019-03-20 06:10
马克一下
joezhou2019-03-20 06:31
关闭ilo外网访问就可以了吧？
tons2019-03-20 06:33
感谢分享，马上升级。虽然我装了V屁N不直接对外暴露端口
剑二十三2019-03-20 10:19
不建议刷2018的bios
其实是补intel cpu漏洞的

会很明显影响性能
27102019-03-21 10:40
我赶紧看了看，，去年gen8刚到手时，就升级到了2.61。
yuwenm162019-03-21 11:03
马克下赶紧 iOS fly ~