Тази седмица Центърът за облачна сигурност на Alibaba откри злонамерени атаки в интернет, използвайки уязвимости в услугата Memcached. Ако клиентът отвори UDP протокола по подразбиране и не използва контрол на достъпа, хакерите могат да експлоатират Memcached услугата при нейното изпълнение, което води до изходяща консумация на пропускателна способност или консумация на CPU ресурси.
Alibaba Cloud Cloud Cloud Database Memcache Edition не използва UDP протокола и по подразбиране не е засегнат от този проблем. В същото време Alibaba Cloud напомня на потребителите да обърнат внимание на собствения си бизнес и да започнат спешни разследвания.
Засегнати райони:
Потребителят изгради услугата Memcached върху UDP порта Memcached 11211.
План за разследване:
1. За да проверите дали UDP портът на Memcached 11211 е отворен от външния интернет, можете да използвате инструмента nc, за да тествате порта и да видите дали процесът на Memcached работи на сървъра.
Тестов порт: nc -vuz IP адрес 11211
Тествайте дали memcached услугата е отворена за обществеността: telnet IP адрес 11211, ако порт 11211 е отворен, може да бъде засегнат
Проверете статуса на процеса: ps -aux | grep memcached
2. Използвай "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | Командата nc -u IP address 11211", ако съдържанието на връщането не е празно, това показва, че вашият сървър може да бъде засегнат.
Решение:
1. Ако използвате услугата Memcached и отворите 11211 UDP порта, препоръчва се да използвате ECS security group политика или други защитни политики, за да блокирате UDP 11211 порта в публичната мрежова посока според бизнес ситуацията, за да гарантирате, че Memcached сървърът и интернет не могат да бъдат достъпени чрез UDP.
2. Препоръчва се да добавите параметъра "-U 0", за да рестартирате memcached услугата и напълно да изключите UDP.
3. Memcached официално пусна нова версия, която по подразбиране деактивира UDP 11211 порта, препоръчва се да ъпгрейднете до най-новата версия 1.5.6.Адрес за изтегляне: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(SHA стойност за проверка на целостта на файла: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Препоръчва се да засилите сигурността на работещата Memcached услуга, като например да активирате свързването на локален слушащ IP, да забраните външен достъп, да изключите UDP протокола и да активирате автентикация за вход и други функции за сигурност за подобряване на сигурността на Memcached.
Кликнете, за да видите подробното ръководство за втвърдяване на услугата Memcached.
Метод на верификация:
След като поправката е завършена, можете да използвате следните методи, за да проверите дали сървърната поправка е ефективна:
1. Ако сте блокирали външния TCP протокол 11211 порт, можете да използвате командата "telnet ip 11211" на компютъра на външния мрежов офис; ако връщащата връзка се провали, това означава, че външният TCP протокол 11211 порт е затворен;
2. Ако сте деактивирали UDP протокола за Memcached услугата на вашия сървър, можете да стартирате следния "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00stats\r\n" | nc -u IP адрес 11211", за да проверите дали протоколът на memcached service UDP е изключен, проверете върнатото съдържание, ако върнатото съдържание е празно, това означава, че вашият сървър е успешно отстранил уязвимостта, можете също да използвате "netstat -an |" grep udp", за да се провери дали порт UDP 11211 слуша, ако не, протоколът memcached UDP е успешно изключен. |
Публикувано в 7.03.2018 г. 16:43:08 ч.
|
|
|
