Мы стали жертвой атаки с усилением ntp, поэтому нам пришлось отключить службу. и / или заблокировать некоторые порты
Я подключаюсь к некоторому режиму восстановления на моем ESXI (5.0 обновление 1)
Мне пришлось смонтировать диски вручную, чтобы получить доступ к своим данным.
Я извлек state.gz&local.gz, но содержимое / etc / довольно сбивает с толку:
нет /etc/ntp.conf, ни /etc/init.d Я тоже искал гипотетический etc/vmware/firewall, но и его не существует.
В любом случае: мой вывод таков, что я должен заблокировать как минимум исходящий порт 123 (ntp), и, возможно, также ограничить UDP некоторыми IP-адресами, но я просто не понимаю, почему файл conf, похоже, не существует (/ etc содержит тень, хосты и несколько других вещей ... но ни init.d, ни firewal мне не кажутся странными)
Если это может помочь, вот одна из строк указанной атаки, я только что удалил IP
dateTime - srcIp:srcPort - dstIp:dstPort - protocol - flags - bytes - reason
2016.09.03 13:36:46 CEST *MY-IP*:123 *VICTIM-IP*:56173 UDP --- 468 ATTACK:NTP
Вот некоторая (многочисленная) документация, которую я просмотрел, но я немного запутался, поскольку в том, что я извлек, не было ни одного из упомянутых файлов.
Статья VMWare, объясняющая, как устанавливать правила межсетевого экрана
Статья, объясняющая, как получить доступ и изменить файлы конфигурации esxi на неработающем ESXI