Дезинфекция супермикро Совета IPMI
Плата IPMI на одном из наших серверов, кажется, стала зараженной - мы были поражены "паролем в ясной" уязвимости - и это, кажется, позволило чему-то заражать ботом, который запустил DDos-атаку.
Прямо сейчас мы вывели его из эксплуатации и знаем, как предотвратить его повторяться. Но... как я избавляюсь от заражения?
Материнская плата является Супермикро X8SIE-LN4F dmidecode, сообщают эти детали о firmward, и такой Супермикро X8SIE(-F)/X8SIE-LN4 (F)/X8SI6-F v 1.0c 27.05.10, кажется, не поддерживает команду sh
Учитывая, что вещь имеет свой код во флэш-памяти и ограниченную систему команд - я задаюсь вопросом две вещи: 1. Где код бота на самом деле хранится 2. Как убрать его
Микропрограмма IPMI вашей платы основана на ATEN. Вы можете загрузить образ микропрограммы IPMI с веб-сайта Supermicro (он называется «SMT ...»).
Вы должны использовать версию микропрограммы 3.15 (SMT_315.bin) или более позднюю и поставить IPMI за брандмауэр или используйте брандмауэр, входящий в комплект прошивки IPMI. Подробнее см. в этой статье.
Я предполагаю, что вы пострадали от проблемы DDoS NTP (если ваша текущая прошивка старше v3.13).