检查您的网络是否存在零日漏洞，立即修复！

介绍 

在Endpoint Central 远程代码执行（RCE）漏洞爆发后，Endpoint Central团队开发了一个工具，用于检查服务器安装的机器中是否存在该漏洞。如果发现被利用，该工具将自动删除恶意文件和服务。

如何使用该工具？ 

1. 停止Endpoint Central服务。
2. 下载 此压缩文件夹 并解压文件。
3. 将vulnerabilityCleanup.bat放置在 <ServerHome>/bin.
4. 将vulnerabilityCleanUp.jar放置在 <ServerHome>/lib.
5. 以管理员身份打开命令提示符，导航至<ServerHome>/bin。
6. 运行vulnerabilityCleanup.bat。
7. 成功执行此批处理文件后，命令提示符中的结果将显示您的网络是否已被利用。

如果我的网络已被利用，我该怎么办？ 

1. 断开该机器与网络的连接。
2. 备份和恢复：
   • 如果是虚拟机，关闭机器，并恢复在2020年3月5日或之前拍摄的快照。后续步骤不适用于虚拟机。
   • 如果是物理机，复制在2020年3月5日或之前拍摄的计划备份（dbbackup），并将此复制品移至另一台机器。然后继续执行以下步骤。
3. 重新安装操作系统。
4. 安装Endpoint Central EXE（注意：新EXE文件的版本应与您备份的版本相同）。访问 此链接 获取对应构建版本的EXE。
5. 恢复备份，并启动服务器。强烈建议在重新安装操作系统的机器上恢复备份。
6. 服务器启动并运行后， 升级到最新版本10.0.479.
7. 更改与服务器安装的机器相关的所有用户名和密码。 

如果我的网络 没有 被利用，我该怎么办？ 

强烈建议 升级到最新版本10.0.479。 

进一步分析的最佳实践

1. 检查防火墙日志，查找任何未知或意外的IP地址。强烈建议审查从2020年3月5日至修复之前的每条防火墙日志。不过，以下是我们目前已发现的IP地址：
   • 3.0.19.24
   • 193.169.255.102
   • 171.25.193.78
   • 23.227.206.166
   • 66.42.98.220
   • 74.82.201.8
   • 91.208.184.78
2. 如果您有网络审核工具，请使用该工具检查恶意软件是否已横向移动至其他服务器机器。
3. 更改以下密码：
   • 从该机器访问的用户/系统账户
   • 如果服务器安装机是AD一部分，或AD已与Endpoint Central服务器集成，请更改Active Directory凭据
   • 从该服务器安装机器访问的任何Web账户

联系我们

如有其他问题，请发送邮件至dc-zeroday@manageengine.com，或通过我们的免费电话+1-888-720-9500联系我们。