检查您的网络是否存在零日漏洞，并立即修复！

简介 

在Endpoint Central的 远程代码执行（RCE）漏洞事件发生后，Endpoint Central团队开发了一个工具，能够检查服务器安装的机器上是否存在该漏洞。 如果发现被利用，该工具将自动删除恶意文件和服务。

如何使用该工具？ 

1. 停止Endpoint Central服务。
2. 下载 此zip文件夹 并解压文件。
3. 将vulnerabilityCleanup.bat放置在 <ServerHome>/bin.
4. 将vulnerabilityCleanUp.jar放置在 <ServerHome>/lib.
5. 以管理员身份打开命令提示符，导航至<ServerHome>/bin。
6. 运行vulnerabilityCleanup.bat。
7. 成功执行此批处理文件后，命令提示符中的结果将指示您的网络是否已被利用。

如果我的网络已被利用，我该怎么办？ 

1. 断开机器与网络的连接。
2. 备份并恢复：
   • 如果是虚拟机，请关闭机器，并恢复2020年3月5日或之前的快照。后续步骤不适用于虚拟机。
   • 如果是物理机，复制2020年3月5日或之前的计划备份（dbbackup），并将此副本移到另一台机器上。然后继续执行以下步骤。
3. 重新安装操作系统。
4. 安装Endpoint Central EXE（注意：新EXE文件的构建版本应与备份的构建版本相同）。访问 此链接 获取适用于您的构建版本的EXE。
5. 恢复备份，并启动服务器。强烈建议在重新安装操作系统的机器上恢复备份。
6. 服务器启动并运行后， 升级到最新构建版本10.0.479.
7. 更改与服务器安装机器相关的所有用户名和密码。 

如果我的网络 没有 被利用，我该怎么办？ 

强烈建议 升级到最新构建版本10.0.479。 

进一步分析的最佳实践

1. 审查防火墙日志，查找任何未知或意外的IP地址。强烈建议检查从2020年3月5日到您应用修复期间的每条防火墙日志。不过，目前我们发现的IP地址如下：
   • 3.0.19.24
   • 193.169.255.102
   • 171.25.193.78
   • 23.227.206.166
   • 66.42.98.220
   • 74.82.201.8
   • 91.208.184.78
2. 如果您有网络审计工具，请使用该工具检查恶意软件是否横向传播到其他服务器机器。
3. 更改以下账户的密码：
   • 从该机器访问的用户/系统账户
   • 如果服务器安装机器是Active Directory的一部分或AD与Endpoint Central服务器集成，则更改Active Directory凭据
   • 从服务器安装机器访问的任何网页账户

联系我们

如果您有任何其他问题，请发送电子邮件至dc-zeroday@manageengine.com或通过我们的免费电话+1-888-720-9500联系我们。