小编点评

## 深信服勒索软件漏洞分析 **风险等级：高** **漏洞原理：** slpd 服务 **缓解方法：** 停止 slpd 服务 **漏洞原理分析：** 1. 通过漏洞原理攻击，可以确定服务启动端口为 427。 2. 通过连接该端口，可以获取服务提供者身份验证信息。 3. 通过此信息，可以利用漏洞复现攻击，从而获得远程代码执行权限。 4. 远程代码执行权限可以用于执行恶意代码，例如安装勒索软件。 **漏洞修复：** 1. 使用 `chkconfig` 命令查看服务是否在开机启动。 2. 如果服务已经启动，请停止服务并禁用开机启动。 3. 修改 `/etc/init.d/slpd` 文件，设置服务启动端口。 4. 重新启动服务。 **其他安全提醒：** 1. 深信服应该及时更新为最新版本。 2. 使用 VPN 时，请确保连接的安全性。 3. 请确保在运行任何服务之前进行安全检查。

正文

摘要

今天查看深信服科技的公众号
发现有一个ESXiArgs 的勒索软件. 
感觉对公司存在一定的风险.但是感觉操作手册有点简单.
这里想着写全面一点. 作为操作手册使用.
并且深信服仅是解决了在运行, 没有将服务设置为开机不启动. 
不过感谢原作者提供的知识. 

---

漏洞原理

攻击 slpd服务. 
缓解的办法及时将这个服务停止掉
服务使用的端口为 427 

关于slp协议:
SLP：服务定位协议 （SLP：Service Location Protocol） 
服务定位协议（SLP）为网络服务的发现和选择提供一种可扩展构架。
通过此协议，使用 Internet 服务的计算机不再需要那么多为网络应用程序服务的静态配置。
这对于便携式电脑或性急的或无法满足网络系统管理需求的用户来说尤其重要。

---

判断是否存在风险

telnet 10.110.xxx.xx 427 
验证是否连通, 如果连通则存在安全风险

我这边验证. 有
1,5,11,17,25,27,33
机器的端口可以联通.

需要注意这个服务 需要在命令行内进行关闭和启动. 
无法通过控制台进行处理. 

---

打开ssh服务-6.0

打开vCenter->点击host宿主机->
右侧面板点击配置->点击右侧区域的左侧树形结果中的<系统>
点击服务->选中ssh,启用服务.

注意 在右侧面板的第一个CPU选项.点击可以看到序列号信息
可以用于维修等处理. 

---

打开ssh服务-6.5

打开vCenter->点击host宿主机->
右侧面板点击配置->点击下方的安全配置文件->
点击服务->打开ssh,启用服务.

---

停止危险服务

/etc/init.d/slpd status
# 查看服务是否运行
/etc/init.d/slpd stop
# 关闭服务
chkconfig slpd
# 查看是否开机启动
chkconfig slpd off
# 关闭开机启动

# 注意 其实应该最后检查一下两项:
chkconfig slpd 
/etc/init.d/slpd status

---

验证是否存在风险

1. 查看目录:/store/packages
   下面是否存在 vmtools.py相关文件
2. 查看目录:/tmp
   是否存在 encrypt motd index.html等文件. 

ls /store/packages |grep vmtool
ls /tmp |grep -E "encrypt|motd|index"
如果如上两个命令没有返回 则问题不大.