Die Foren-SW läuft ohne erkennbare Probleme. Sollte doch etwas nicht funktionieren, bitte gerne hier jederzeit melden und wir kümmern uns zeitnah darum. Danke!

Virus oder gehackter ESXi ?? local.tgz

Alles zum Thema vSphere 6, ESXi 6.0 und vCenter Server.

Moderatoren: irix, continuum, Dayworker

Member
Beiträge: 5
Registriert: 15.04.2017, 15:33

Virus oder gehackter ESXi ?? local.tgz

Beitragvon VM-Dayworker » 15.04.2017, 15:54

Hallo zusammen, mir ist heute aufgefallen, dass ich auf meinem ESXi eine Datei habe " local.tgz" habe.
Ein weiterer ESXi hat diese gezippte Datei nicht.
Selbst wenn ich diese Datei lösche ist sie nach dem nächsten Neustart wieder da.

Was ist es ein Virus oder ist das System vielleicht gehackt?

Vielen Dank für die Info

Guru
Beiträge: 2525
Registriert: 23.02.2012, 12:26

Re: Virus oder gehackter ESXi ?? local.tgz

Beitragvon ~thc » 15.04.2017, 16:10

Wahrscheinlich hat jemand mal nach dieser Anleitung die lokale Konfiguration entpackt. Kann das sein?

Habe gerade gesehen, dass sie nach einem Neustart wieder da ist - da kann ich mir keinen Reim drauf machen.

Member
Beiträge: 5
Registriert: 15.04.2017, 15:33

Re: Virus oder gehackter ESXi ?? local.tgz

Beitragvon VM-Dayworker » 15.04.2017, 16:20

Ich habe mal den ESXi neu installiert, dabei auch den Datastore neu partitionieren lassen.
Nach der installation ist die Datei weg .

Nach einem Reboot ist die Datei wieder da.

Einzige Änderung nach dem Neustart in der Datei /etc/rc.local.d/local.sh echo "15 22 * * * /bin/halt" >> /var/spool/cron/crontabs/root

Guru
Beiträge: 2525
Registriert: 23.02.2012, 12:26

Re: Virus oder gehackter ESXi ?? local.tgz

Beitragvon ~thc » 15.04.2017, 16:29

Ich sehen gerade: Auf meinem Test-Lab 6.0er ist die Datei auch.

Wenn du auf der Shell des ESXi

Code: Alles auswählen

tar tzvf local.tgz

ausführst und dabei

Code: Alles auswählen

-rw-r--r-- root/root       114 2017-03-28 18:00:10 etc/security/access.conf
-rw-r--r-- root/root      1424 2017-03-28 17:59:42 etc/vmware/ssl/rui.crt
-r-------- root/root      1704 2017-03-28 17:59:42 etc/vmware/ssl/rui.key
-rw-r--r-- root/root       399 2017-03-28 18:00:15 etc/vmware/hostd/vmAutoStart.xml
-rw-r--r-- root/root        13 2017-03-28 17:59:42 etc/vmware/hostd/vmciAccessManager.xml
-rw-r--r-- root/root       157 2017-03-28 18:00:03 etc/vmware/hostd/pools.xml
-rw-r--r-- root/root        13 2017-03-28 17:59:42 etc/vmware/hostd/vmInventory.xml
-rw-r--r-- root/root        99 2017-03-28 17:59:42 etc/vmware/hostd/hostsvc.xml
-rw-r--r-- root/root     12324 2017-03-28 18:00:02 etc/vmware/configrules
-rw-r--r-- root/root       512 2017-03-28 17:59:48 etc/vmware/dvsdata.db
-rw-r--r-- root/root        51 2017-03-28 17:59:57 etc/vmware/locker.conf
-rw------- root/root     27781 2017-03-28 18:00:34 etc/vmware/esx.conf
-rw-r--r-- root/root       136 2017-03-28 18:00:37 etc/vmware/.backup.counter
-rw------- root/root       171 2017-03-28 18:00:04 etc/vmware/lunTimestamps.log
-rw------- root/root       311 2017-03-28 17:59:42 etc/vmware/license.cfg
-r--r--r-- root/root      1868 2017-03-28 17:59:42 etc/vmware/vpxa/vpxa.cfg
-rw-r--r-- root/root      4324 2017-03-28 18:00:02 etc/vmware/rhttpproxy/config.xml
-rw-r--r-- root/root       234 2017-03-28 17:59:42 etc/vmsyslog.conf.d/hostd.conf
-rw-r--r-- root/root       219 2017-03-28 17:59:42 etc/vmsyslog.conf.d/fdm.conf
-rw-r--r-- root/root       225 2017-03-28 17:59:42 etc/vmsyslog.conf.d/vpxa.conf
-rw-r--r-- root/root       600 2017-03-28 17:59:42 etc/ssh/ssh_host_dsa_key.pub
-rw------- root/root      1115 2017-03-28 18:00:00 etc/ssh/sshd_config
-r-------- root/root      1704 2017-03-28 17:59:42 etc/ssh/ssh_host_rsa_key
-rw------- root/root       381 2017-03-28 17:59:42 etc/ssh/ssh_host_rsa_key.pub
-rw------- root/root       668 2017-03-28 17:59:42 etc/ssh/ssh_host_dsa_key
-rw------- root/root       266 2017-03-28 17:59:42 etc/shadow
-rw-r--r-- root/root      1143 2017-03-28 17:59:59 etc/chkconfig.db
-rw-r--r-- root/root       226 2017-03-28 17:59:48 etc/hosts
-rw-r--r-- root/root         9 2017-03-28 17:59:42 etc/keymap
-rw-r--r-- root/root        95 2017-03-28 17:59:42 etc/resolv.conf
-rw------T root/root       512 2017-03-28 18:00:20 etc/random-seed
-rw-r--r-- root/root       235 2017-03-28 17:59:59 etc/vmsyslog.conf
-rw-r--r-- root/root         0 2015-08-31 07:28:53 etc/dhclient-vmk0.leases
-rw-r--r-T root/root       934 2017-03-28 18:00:04 etc/sfcb/sfcb.cfg
-rw-r--r-- root/root        36 2017-03-28 17:59:42 etc/sfcb/uuid
-rw-r--r-- root/root         0 2015-08-31 07:58:24 etc/sfcb/repository/root/interop/cim_indicationfilter.idx
-rw-r--r-- root/root         0 2015-08-31 07:58:24 etc/sfcb/repository/root/interop/cim_listenerdestinationcimxml.idx
-rw-r--r-- root/root        39 2017-03-28 17:59:42 etc/sfcb/repository/root/interop/sfcb_registeredprofile.idx
-rw-r--r-- root/root       508 2017-03-28 17:59:42 etc/sfcb/repository/root/interop/sfcb_registeredprofile
-rw-r--r-- root/root         0 2015-08-31 07:58:24 etc/sfcb/repository/root/interop/cim_indicationhandlercimxml.idx
-rw-r--r-- root/root         0 2015-08-31 07:58:24 etc/sfcb/repository/root/interop/cim_indicationsubscription.idx
-rw-r--r-- root/root       596 2017-03-28 17:59:42 etc/sfcb/repository/root/config/omc_namespaceconfig
-rw-r--r-- root/root        56 2017-03-28 17:59:42 etc/sfcb/repository/root/config/omc_namespaceconfig.idx
-rw-r--r-- root/root       384 2017-03-28 17:59:42 etc/sfcb/repository/root/config/omc_config
-rw-r--r-- root/root        29 2017-03-28 17:59:42 etc/sfcb/repository/root/config/omc_config.idx

herauskommt, ist das wohl normal.

Experte
Beiträge: 1778
Registriert: 04.10.2011, 14:06

Re: Virus oder gehackter ESXi ?? local.tgz

Beitragvon JustMe » 15.04.2017, 16:54

Die Frage waere vermutlich, woher das automatisierte Herunterfahren des ESXi taeglich um 22:15 Uhr (UTC) kommt...

Member
Beiträge: 5
Registriert: 15.04.2017, 15:33

Re: Virus oder gehackter ESXi ?? local.tgz

Beitragvon VM-Dayworker » 15.04.2017, 18:25

Ne die Frage stellt sich nicht, denn das runterfahren um 22:15 stammt von mir selbst.
:grin:

Experte
Beiträge: 1778
Registriert: 04.10.2011, 14:06

Re: Virus oder gehackter ESXi ?? local.tgz

Beitragvon JustMe » 15.04.2017, 18:35

Damit ist die Frage des Urhebers geklaert.
Und wenn Du Dir jetzt nochmals in Erinnerung rufst, wie Du dies realisiert hast, dann weisst Du auch wieder, wo die local.tgz herkommt. ;-)

Member
Beiträge: 5
Registriert: 15.04.2017, 15:33

Re: Virus oder gehackter ESXi ?? local.tgz

Beitragvon VM-Dayworker » 15.04.2017, 19:26

Ich habe den Eintrag nur mit WinSCP gemacht, daher weiß ich nicht, ob dadurch die Datei local.tgz erteugt worden ist.
Denn was mich sehr wundert, selbst wenn ich sie lösche beim nächsten Neustart ist sie wieder da.

Experte
Beiträge: 1778
Registriert: 04.10.2011, 14:06

Re: Virus oder gehackter ESXi ?? local.tgz

Beitragvon JustMe » 15.04.2017, 20:21

Was genau hast Du mit WinSCP durchgefuehrt, und zeig' doch mal bitte die Ausgabe von

Code: Alles auswählen

esxcli software profile get | grep -v VIBs


Normalerweise sind halt diese local.tgz (bzw. state.tgz, die local.tgz mitsichert) Hinweise darauf, dass jemand Konfigurationsaenderungen Reboot-sicher implementiert hat, bzw. Erweiterungen von OEMs.

Member
Beiträge: 5
Registriert: 15.04.2017, 15:33

Re: Virus oder gehackter ESXi ?? local.tgz

Beitragvon VM-Dayworker » 16.04.2017, 08:16

Ganz einfach, da es eine Testumgebung ist soll das Gerät Nachts herunter fahren um Strom zu sparen, dazu habe ich mit Winscp einfach den Cronjob editiert und der ESXi geht nachts schlafen.

Dazu habe ich die Datei /etc/rc.local.d/local.sh editiert, der Eintrag echo "15 22 * * * /bin/halt" >> /var/spool/cron/crontabs/root trägt sich dann bei jedem Neustart in die Datei /var/spool/cron/crontabs/root ein und so fährt der ESXi um 22:15 herunter.

Guru
Beiträge: 2525
Registriert: 23.02.2012, 12:26

Re: Virus oder gehackter ESXi ?? local.tgz

Beitragvon ~thc » 16.04.2017, 12:20

Ich habe mal versucht, das mit einem neuinstallierten 6.0er nachzuvollziehen. Wenn ich mir das richtig zusammenreime:

In "bootbank/state.tgz" befindet sich immer die aktuelle "local.tgz" (mit dem Zeitstempel des letzten Neustarts) und die ehemalige Version wird im Stammverzeichnis abgelegt (Zeitstempel des vorletzten Neustarts). Der Refresh scheint bei jedem Neustart stattzufinden.


Zurück zu „vSphere 6.0“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast