Seite 1 von 1
Virus oder gehackter ESXi ?? local.tgz
Verfasst: 15.04.2017, 15:54
von VM-Dayworker
Hallo zusammen, mir ist heute aufgefallen, dass ich auf meinem ESXi eine Datei habe " local.tgz" habe.
Ein weiterer ESXi hat diese gezippte Datei nicht.
Selbst wenn ich diese Datei lösche ist sie nach dem nächsten Neustart wieder da.
Was ist es ein Virus oder ist das System vielleicht gehackt?
Vielen Dank für die Info
Re: Virus oder gehackter ESXi ?? local.tgz
Verfasst: 15.04.2017, 16:10
von ~thc
Wahrscheinlich hat jemand mal nach
dieser Anleitung die lokale Konfiguration entpackt. Kann das sein?
Habe gerade gesehen, dass sie nach einem Neustart wieder da ist - da kann ich mir keinen Reim drauf machen.
Re: Virus oder gehackter ESXi ?? local.tgz
Verfasst: 15.04.2017, 16:20
von VM-Dayworker
Ich habe mal den ESXi neu installiert, dabei auch den Datastore neu partitionieren lassen.
Nach der installation ist die Datei weg .
Nach einem Reboot ist die Datei wieder da.
Einzige Änderung nach dem Neustart in der Datei /etc/rc.local.d/local.sh echo "15 22 * * * /bin/halt" >> /var/spool/cron/crontabs/root
Re: Virus oder gehackter ESXi ?? local.tgz
Verfasst: 15.04.2017, 16:29
von ~thc
Ich sehen gerade: Auf meinem Test-Lab 6.0er ist die Datei auch.
Wenn du auf der Shell des ESXi
ausführst und dabei
Code: Alles auswählen
-rw-r--r-- root/root 114 2017-03-28 18:00:10 etc/security/access.conf
-rw-r--r-- root/root 1424 2017-03-28 17:59:42 etc/vmware/ssl/rui.crt
-r-------- root/root 1704 2017-03-28 17:59:42 etc/vmware/ssl/rui.key
-rw-r--r-- root/root 399 2017-03-28 18:00:15 etc/vmware/hostd/vmAutoStart.xml
-rw-r--r-- root/root 13 2017-03-28 17:59:42 etc/vmware/hostd/vmciAccessManager.xml
-rw-r--r-- root/root 157 2017-03-28 18:00:03 etc/vmware/hostd/pools.xml
-rw-r--r-- root/root 13 2017-03-28 17:59:42 etc/vmware/hostd/vmInventory.xml
-rw-r--r-- root/root 99 2017-03-28 17:59:42 etc/vmware/hostd/hostsvc.xml
-rw-r--r-- root/root 12324 2017-03-28 18:00:02 etc/vmware/configrules
-rw-r--r-- root/root 512 2017-03-28 17:59:48 etc/vmware/dvsdata.db
-rw-r--r-- root/root 51 2017-03-28 17:59:57 etc/vmware/locker.conf
-rw------- root/root 27781 2017-03-28 18:00:34 etc/vmware/esx.conf
-rw-r--r-- root/root 136 2017-03-28 18:00:37 etc/vmware/.backup.counter
-rw------- root/root 171 2017-03-28 18:00:04 etc/vmware/lunTimestamps.log
-rw------- root/root 311 2017-03-28 17:59:42 etc/vmware/license.cfg
-r--r--r-- root/root 1868 2017-03-28 17:59:42 etc/vmware/vpxa/vpxa.cfg
-rw-r--r-- root/root 4324 2017-03-28 18:00:02 etc/vmware/rhttpproxy/config.xml
-rw-r--r-- root/root 234 2017-03-28 17:59:42 etc/vmsyslog.conf.d/hostd.conf
-rw-r--r-- root/root 219 2017-03-28 17:59:42 etc/vmsyslog.conf.d/fdm.conf
-rw-r--r-- root/root 225 2017-03-28 17:59:42 etc/vmsyslog.conf.d/vpxa.conf
-rw-r--r-- root/root 600 2017-03-28 17:59:42 etc/ssh/ssh_host_dsa_key.pub
-rw------- root/root 1115 2017-03-28 18:00:00 etc/ssh/sshd_config
-r-------- root/root 1704 2017-03-28 17:59:42 etc/ssh/ssh_host_rsa_key
-rw------- root/root 381 2017-03-28 17:59:42 etc/ssh/ssh_host_rsa_key.pub
-rw------- root/root 668 2017-03-28 17:59:42 etc/ssh/ssh_host_dsa_key
-rw------- root/root 266 2017-03-28 17:59:42 etc/shadow
-rw-r--r-- root/root 1143 2017-03-28 17:59:59 etc/chkconfig.db
-rw-r--r-- root/root 226 2017-03-28 17:59:48 etc/hosts
-rw-r--r-- root/root 9 2017-03-28 17:59:42 etc/keymap
-rw-r--r-- root/root 95 2017-03-28 17:59:42 etc/resolv.conf
-rw------T root/root 512 2017-03-28 18:00:20 etc/random-seed
-rw-r--r-- root/root 235 2017-03-28 17:59:59 etc/vmsyslog.conf
-rw-r--r-- root/root 0 2015-08-31 07:28:53 etc/dhclient-vmk0.leases
-rw-r--r-T root/root 934 2017-03-28 18:00:04 etc/sfcb/sfcb.cfg
-rw-r--r-- root/root 36 2017-03-28 17:59:42 etc/sfcb/uuid
-rw-r--r-- root/root 0 2015-08-31 07:58:24 etc/sfcb/repository/root/interop/cim_indicationfilter.idx
-rw-r--r-- root/root 0 2015-08-31 07:58:24 etc/sfcb/repository/root/interop/cim_listenerdestinationcimxml.idx
-rw-r--r-- root/root 39 2017-03-28 17:59:42 etc/sfcb/repository/root/interop/sfcb_registeredprofile.idx
-rw-r--r-- root/root 508 2017-03-28 17:59:42 etc/sfcb/repository/root/interop/sfcb_registeredprofile
-rw-r--r-- root/root 0 2015-08-31 07:58:24 etc/sfcb/repository/root/interop/cim_indicationhandlercimxml.idx
-rw-r--r-- root/root 0 2015-08-31 07:58:24 etc/sfcb/repository/root/interop/cim_indicationsubscription.idx
-rw-r--r-- root/root 596 2017-03-28 17:59:42 etc/sfcb/repository/root/config/omc_namespaceconfig
-rw-r--r-- root/root 56 2017-03-28 17:59:42 etc/sfcb/repository/root/config/omc_namespaceconfig.idx
-rw-r--r-- root/root 384 2017-03-28 17:59:42 etc/sfcb/repository/root/config/omc_config
-rw-r--r-- root/root 29 2017-03-28 17:59:42 etc/sfcb/repository/root/config/omc_config.idx
herauskommt, ist das wohl normal.
Re: Virus oder gehackter ESXi ?? local.tgz
Verfasst: 15.04.2017, 16:54
von JustMe
Die Frage waere vermutlich, woher das automatisierte Herunterfahren des ESXi taeglich um 22:15 Uhr (UTC) kommt...
Re: Virus oder gehackter ESXi ?? local.tgz
Verfasst: 15.04.2017, 18:25
von VM-Dayworker
Ne die Frage stellt sich nicht, denn das runterfahren um 22:15 stammt von mir selbst.
Re: Virus oder gehackter ESXi ?? local.tgz
Verfasst: 15.04.2017, 18:35
von JustMe
Damit ist die Frage des Urhebers geklaert.
Und wenn Du Dir jetzt nochmals in Erinnerung rufst, wie Du dies realisiert hast, dann weisst Du auch wieder, wo die local.tgz herkommt.
Re: Virus oder gehackter ESXi ?? local.tgz
Verfasst: 15.04.2017, 19:26
von VM-Dayworker
Ich habe den Eintrag nur mit WinSCP gemacht, daher weiß ich nicht, ob dadurch die Datei local.tgz erteugt worden ist.
Denn was mich sehr wundert, selbst wenn ich sie lösche beim nächsten Neustart ist sie wieder da.
Re: Virus oder gehackter ESXi ?? local.tgz
Verfasst: 15.04.2017, 20:21
von JustMe
Was genau hast Du mit WinSCP durchgefuehrt, und zeig' doch mal bitte die Ausgabe von
Normalerweise sind halt diese local.tgz (bzw. state.tgz, die local.tgz mitsichert) Hinweise darauf, dass jemand Konfigurationsaenderungen Reboot-sicher implementiert hat, bzw. Erweiterungen von OEMs.
Re: Virus oder gehackter ESXi ?? local.tgz
Verfasst: 16.04.2017, 08:16
von VM-Dayworker
Ganz einfach, da es eine Testumgebung ist soll das Gerät Nachts herunter fahren um Strom zu sparen, dazu habe ich mit Winscp einfach den Cronjob editiert und der ESXi geht nachts schlafen.
Dazu habe ich die Datei /etc/rc.local.d/local.sh editiert, der Eintrag echo "15 22 * * * /bin/halt" >> /var/spool/cron/crontabs/root trägt sich dann bei jedem Neustart in die Datei /var/spool/cron/crontabs/root ein und so fährt der ESXi um 22:15 herunter.
Re: Virus oder gehackter ESXi ?? local.tgz
Verfasst: 16.04.2017, 12:20
von ~thc
Ich habe mal versucht, das mit einem neuinstallierten 6.0er nachzuvollziehen. Wenn ich mir das richtig zusammenreime:
In "bootbank/state.tgz" befindet sich immer die aktuelle "local.tgz" (mit dem Zeitstempel des letzten Neustarts) und die ehemalige Version wird im Stammverzeichnis abgelegt (Zeitstempel des vorletzten Neustarts). Der Refresh scheint bei jedem Neustart stattzufinden.