检查您的网络是否存在零日漏洞，并立即修复！

简介 

在 Endpoint Central 的 远程代码执行（RCE）漏洞爆发后，Endpoint Central 团队开发了一种智能检测工具，检查服务器安装的机器中是否存在该漏洞。 如果发现被利用，Endpoint Central 将自动删除恶意文件和服务。我们注意到您已在网络中配置了 Secure Gateway Server。请仔细按照以下步骤操作，确保您的系统和网络安全。

注意：如果您在 2020 年 3 月 5 日之前配置了 Secure Gateway Server，则可以放心，您的系统不受该漏洞影响。如果您是在 2020 年 3 月 5 日之后配置了 Secure Gateway Server，则应遵循以下步骤：

2020 年 3 月 5 日后配置 Secure Gateway Server：

1. 将 Endpoint Central 服务器机器从您的网络断开。
2. 备份和恢复：
   • 如果是虚拟机，请关闭机器，并恢复于 2020 年 3 月 5 日或之前创建的快照。后续步骤不适用于虚拟机。
   • 如果是物理机，请复制于 2020 年 3 月 5 日或之前创建的计划备份（dbbackup），并将此副本移至另一台机器。然后继续执行以下步骤。
3. 重新安装操作系统。
4. 安装 Endpoint Central EXE（注意：新 EXE 文件的构建版本应与备份的构建版本相同）。访问 此链接 获取对应构建版本的 EXE。
5. 恢复备份，并启动服务器。强烈建议在重新安装操作系统的机器上恢复备份。
6. 如果您的 Desktop Central 版本低于 10.0.479， 请升级到最新构建版本 10.0.479 并启动服务器。
7. 更改所有与服务器安装机器相关的用户名和密码。 

后续分析的最佳实践

1. 检查防火墙日志中的任何未知或异常 IP 地址。强烈建议审查从 2020 年 3 月 5 日至您应用补丁之间的所有防火墙日志。以下是我们目前发现的 IP 地址：
   • 3.0.19.24
   • 193.169.255.102
   • 171.25.193.78
   • 23.227.206.166
   • 66.42.98.220
   • 74.82.201.8
   • 91.208.184.78
2. 如果您有网络审计工具，请使用该工具检查恶意软件是否横向移动到其他服务器机器。
3. 更改以下密码：
   • 从该机器访问的用户/系统账户
   • 如果服务器安装机器是 Active Directory 成员或与 Endpoint Central 服务器集成了 AD，则更改 Active Directory 凭据
   • 从服务器安装机器访问的任何 Web 账户

联系我们

如有任何疑问，请发送邮件至 dc-zeroday@manageengine.com，或致电我们的免费电话 +1-888-720-9500 联系我们。