Плата IPMI на одном из наших серверов, похоже, была заражена - мы были поражены уязвимостью «пароль в открытом виде» - и, похоже, она позволила чему-то заразиться с помощью бота, который запустил DDoS-атаку.
Прямо сейчас мы отключили его и знаем, как предотвратить его повторение. Но ... как мне избавиться от инфекции?
Материнская плата представляет собой Supermicro X8SIE-LN4F dmidecode сообщает эти подробности о фирме и таких Supermicro X8SIE (-F) / X8SIE-LN4 (F) / X8SI6-F v 1.0c 5/27/10 Кажется, что не поддерживает команду sh
Учитывая, что у этой штуки есть код во флеш-памяти и ограниченный набор инструкций, мне интересно две вещи: 1. Где на самом деле хранится код бота 2. Как его очистить
Прошивка IPMI вашей платы основана на ATEN. Вы можете скачать образ прошивки IPMI на Супермикро веб-сайт (он называется "SMT ...").
Вы должны использовать версию прошивки 3.15 (SMT_315.bin) или более позднюю и поставить IPMI за брандмауэр или использовать брандмауэр, входящий в комплект встроенного ПО IPMI. Проверьте этот статью для более подробной информации.
Я предполагаю, что вы были затронуты проблемой DDoS NTP (если ваша текущая прошивка старше v3.13).