近期有一种新的勒索病毒软件ESXiArgs，攻击者利用远程代码执行漏洞向VMware ESXi进行攻击，该漏洞CVE是CVE-2021-21974，通过427/UDP端口将恶意文件传输至VMware ESXi导致OpenSLP服务中的堆溢出。

CVE-2021-21974影响范围：

ESXi70U1c-17325551之前的ESXi 7.x版本
ESXi670-202102401-SG之前的ESXi 6.7.x版本
ESXi650-202102101-SG之前的ESXi 6.5.x版本

解决办法：

方法一：通过官方补丁，对VMware ESXi进行升级。

方法二：不具备补丁升级条件的，可以通过关闭OpenSLP服务来规避，具体操作方法如下。

1、登录ESXi，启用安全Shell

2、登录ESXi主机，我这里是通过xshell连接，注意这里的密码要选择Keyboard Interactive，这个账号密码就是你ESXi的账号密码

3、查看SLP服务状态

|---|-------------------------| | 1 | /etc/init.d/slpd status |

如果是slpd is running，表示该服务正常运行中

4、停止SLP服务

|---|-----------------------| | 1 | /etc/init.d/slpd stop |

5、禁用SLP服务

|---|----------------------------------------------------| | 1 | esxcli network firewall ruleset set -r CIMSLP -e 0 |

6、查看SLP是否设置了开机自启动

|---|-------------------------------| | 1 | chkconfig --list | grep slpd |

7、如果slpd服务为on，则执行以下命令关闭自启动

|---|--------------------| | 1 | chkconfig slpd off |