ฉันมีอินสแตนซ์ VMWare ESXi ใช้เวอร์ชัน 6.0.0 พนักงานของเราถูกปิดกั้นจากไคลเอนต์หนา ESXi (แอปพลิเคชัน Windows "vSphere Client") เป็นจำนวนมากในเวลานี้ เราได้รับข้อความแสดงข้อผิดพลาด "ชื่อผู้ใช้หรือรหัสผ่านไม่ถูกต้อง" เมื่อพยายามเข้าสู่ระบบหลังจากการวิจัยบางอย่างเราพบว่าเราถูกล็อคออกจากโฮสต์ ESXi ของเราเนื่องจากคุณสมบัติการล็อครูทของ v6.0 ซึ่งล็อคบัญชีสำหรับ กำหนดจำนวนเวลา (ค่าเริ่มต้น: 2 นาที) หลังจากพยายามรหัสผ่านล้มเหลว 3 ครั้งติดต่อกัน ดูเหมือนว่าผู้โจมตียังคงดำเนินต่อไปอีกหลายชั่วโมงจนกระทั่งในที่สุดก็ยอมจำนน ณ จุดนั้นเราสามารถเข้าสู่ระบบด้วยตัวเองโดยใช้บัญชีรูท
เราสับสนเล็กน้อยเกี่ยวกับสาเหตุที่อาจเกิดขึ้นได้ เซิร์ฟเวอร์โฮสต์ในดาต้าเซ็นเตอร์ขนาดใหญ่และมีชื่อเสียงและเป็นอินสแตนซ์เฉพาะที่แท้จริง อย่างไรก็ตามสิ่งอำนวยความสะดวกกล่าวว่าต้องการเรียกเก็บอัตราค่อนข้างมากเกินไปที่จะทำให้เซิร์ฟเวอร์ VM นี้อยู่หลังไฟร์วอลล์ฮาร์ดแวร์ ดังนั้นเราจึงพึ่งพาไฟร์วอลล์ในตัวของ ESXi
ในส่วนการกำหนดค่า -> โปรไฟล์การรักษาความปลอดภัย -> ไฟร์วอลล์เรามีบริการต่อไปนี้ (ซึ่งถูกกำหนดโดยค่าเริ่มต้น) ให้ จำกัด IP เพื่ออนุญาต IP สำนักงานของเราเท่านั้น:
- เซิร์ฟเวอร์ SSH
- การเข้าถึงเว็บ vSphere
- vSphere เว็บไคลเอ็นต์
- vsanvp
- vMotion
อย่างไรก็ตามเรื่องนี้ดูเหมือนว่าผู้โจมตีจะยังคงสามารถผ่านได้อย่างน้อยและเกิดข้อผิดพลาด 'รหัสผ่านผิดพลาด' เนื่องจากบันทึกเหตุการณ์ ESXi ของเซิร์ฟเวอร์แสดงบรรทัดจำนวนมากเช่นนี้:
Remote access for ESXi local user account 'root'
has been locked for 120 seconds after 563 failed
login attempts.
นี่คือข้อเท็จจริงที่ว่า IP สำนักงานของเราเท่านั้นที่ได้รับอนุญาตและเรารู้ว่าไม่มีใครที่นี่กำลังเริ่มต้นสิ่งนี้
เรากำลังทำอะไรผิด
