检查您的网络是否存在零日漏洞，并立即修复！

简介 

针对Endpoint Central的 远程代码执行(RCE)漏洞，Endpoint Central团队开发了一种机制来检查服务器安装的机器是否存在该漏洞。 如果发现被利用，Endpoint Central将自动删除恶意文件和服务。请仔细按照以下步骤操作，以确保您的系统和网络安全。 

保护您的网络的步骤：

1. 将Endpoint Central服务器机器从网络断开。
2. 备份与恢复：
   • 如果是虚拟机，请关闭机器并恢复在2020年3月5日或之前创建的快照。后续步骤不适用于虚拟机。
   • 如果是物理机器，请复制在2020年3月5日或之前的计划备份(dbbackup)，并将副本转移到另一台机器。然后继续执行以下步骤。
3. 重新安装操作系统。
4. 安装Endpoint Central EXE（注意：新EXE文件的构建版本应与您备份的版本相同）。访问 此链接 获取对应构建号的EXE文件。
5. 恢复备份，并启动服务器。强烈建议在重新安装操作系统的机器上恢复备份。
6. 如果您的Desktop Central版本低于10.0.479， 升级到最新版本10.0.479 并启动服务器。
7. 更改与服务器安装机器相关联的所有用户名和密码。 

进一步分析的最佳实践

1. 审查防火墙日志，查找任何未知或意外的IP地址。强烈建议仔细检查从2020年3月5日到修复应用期间的每条防火墙日志。但以下是截至目前我们发现的IP地址：
   • 3.0.19.24
   • 193.169.255.102
   • 171.25.193.78
   • 23.227.206.166
   • 66.42.98.220
   • 74.82.201.8
   • 91.208.184.78
2. 如果您有网络审计工具，请使用该工具检查恶意软件是否已横向移动到其他服务器机器。
3. 更改以下账号的密码：
   • 从该机器访问的用户/系统账号
   • 如果服务器安装机器为Active Directory域成员，或AD与Endpoint Central服务器集成，请更改Active Directory凭据
   • 从服务器安装机器访问的任何Web账号

联系我们

若有任何进一步疑问，请发送邮件至dc-zeroday@manageengine.com，或通过我们的免费电话+1-888-720-9500联系我们。