Tento týden Alibaba Cloud Security Center zaznamenalo škodlivé útoky na internetu pomocí zranitelností ve službě Memcached. Pokud zákazník otevře protokol UDP ve výchozím nastavení a nepoužije řízení přístupu, hackeři mohou zneužít službu Memcached při jejím provozu, což vede ke spotřebě odchozí šířky pásma nebo využití CPU.
Alibaba Cloud Cloud Database Memcache Edition nepoužívá protokol UDP a tento problém se na něj ve výchozím nastavení netýká. Současně Alibaba Cloud připomíná uživatelům, aby se soustředili na své podnikání a zahájili nouzová vyšetřování.
Postižené oblasti:
Uživatel vytvořil službu Memcached na portu Memcached 11211 UDP.
Vyšetřovací plán:
1. Pro ověření, zda je port Memcached 11211 UDP otevřený z externího internetu, můžete použít nástroj nc k otestování portu a zjistit, zda proces Memcached běží na serveru.
Testovací port: nc -vuz IP adresa 11211
Otestujte, zda je memcachovaná služba otevřená veřejnosti: telnet IP adresa 11211, pokud je port 11211 otevřený, může být ovlivněna
Zkontrolujte stav procesu: ps -aux | Grep Memcached
2. Použijte "echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | příkaz nc-u IP adresa 11211", pokud return content není prázdný, znamená to, že váš server může být ovlivněn.
Řešení:
1. Pokud používáte službu Memcached a otevřete port 11211 UDP, doporučuje se použít bezpečnostní skupinovou politiku ECS nebo jiné firewallové politiky k blokování portu UDP 11211 ve směru veřejné sítě podle obchodní situace, aby bylo zajištěno, že Memcached server a internet nebudou přístupné přes UDP.
2. Doporučuje se přidat parametr "-U 0" pro restart memcached služby a úplné vypnutí UDP.
3. Memcached oficiálně vydal novou verzi, která ve výchozím nastavení deaktivuje port UDP 11211, doporučuje se upgradovat na nejnovější verzi 1.5.6.Adresa ke stažení: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Kontrola integrity souboru SHA hodnota: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Doporučuje se posílit bezpečnost běžící služby Memcached, například povolit vazbu lokální naslouchací IP, zakázat externí přístup, vypnout protokol UDP a povolit přihlášení a další bezpečnostní funkce pro zvýšení bezpečnosti Memcached.
Klikněte pro zobrazení podrobného Manuálu Memcached Service Hardening.
Metoda ověřování:
Jakmile je oprava dokončena, můžete použít následující metody k ověření, zda je serverová oprava účinná:
1. Pokud jste zablokovali externí port TCP protokolu 11211, můžete použít příkaz "telnet ip 11211" na externím počítači síťové kanceláře; pokud návratové spojení selže, znamená to, že externí port TCP protokolu 11211 byl uzavřen;
2. Pokud jste deaktivovali protokol UDP pro službu Memcached na vašem serveru, můžete spustit následující "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP adresa 11211" pro ověření, zda je protokol memcached služby UDP vypnutý, zkontrolujte vrácený obsah, pokud je vrácený obsah prázdný, znamená to, že váš server úspěšně opravil zranitelnost, můžete také použít "netstat -an |" grep udp" aby se zjistilo, zda port UDP 11211 poslouchá, pokud ne, memcachovaný UDP protokol byl úspěšně vypnut. |
Zveřejněno 07.03.2018 16:43:08
|
|
|
