A placa da IPMI em um dos nossos servidores parece ter sido infectada - fomos atingidos pela vulnerabilidade "password in the clear" - e parece ter permitido que algo tenha sido infectado por um bot que lançou um ataque DDoS. / p>
Neste momento, tiramos tudo do ar e sabemos como evitar que isso ocorra novamente. Mas ... como me livrar da infecção?
Motherboard é um Supermicro X8SIE-LN4F dmidecode relata esses detalhes sobre firmward e tal Supermicro X8SIE (-F) / X8SIE-LN4 (F) / X8SI6-F v 1.0c 27/05/10 Parece não suportar o comando sh
Dado que a coisa tem seu código na memória flash e um conjunto de instruções limitado - estou pensando em duas coisas: 1. Onde o código bot é realmente armazenado 2. Como limpar isso
O firmware IPMI da sua placa é baseado em ATEN. Você pode fazer o download da imagem do firmware da IPMI na Supermicro site (é chamado "SMT ...").
Você deve usar a versão de firmware 3.15 (SMT_315.bin) ou posterior e colocar o IPMI atrás de um firewall ou usar o firewall incluído do firmware da IPMI. Verifique o este artigo para mais detalhes.
Suponho que você tenha sido afetado pelo problema NTP DDoS (se seu firmware atual for anterior à v3.13).