I denne uge opdagede Alibaba Cloud Security Center ondsindede angreb på internettet ved brug af sårbarheder i Memcached-tjenesten. Hvis kunden som standard åbner UDP-protokollen og ikke bruger adgangskontrol, kan hackere udnytte den Memcachede-tjeneste, når de kører den, hvilket resulterer i forbrug af udgående båndbredde eller CPU-ressourceforbrug.
Alibaba Cloud Cloud Cloud Database Memcache Edition bruger ikke UDP-protokollen og er som standard ikke påvirket af dette problem. Samtidig minder Alibaba Cloud brugerne om at fokusere på deres egen forretning og starte nødundersøgelser.
Berørte områder:
Brugeren byggede Memcached-tjenesten på Memcached 11211 UDP-porten.
Undersøgelsesplan:
1. For at teste om Memcached 11211 UDP-porten er åben fra det eksterne internet, kan du bruge nc-værktøjet til at teste porten og se, om Memcached-processen kører på serveren.
Testport: nc -vuz IP-adresse 11211
Test om den memcachede tjeneste er åben for offentligheden: telnet IP-adresse 11211, hvis port 11211 er åben, kan den blive påvirket
Tjek processtatus: ps -aux | grep memcached
2. Brug "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00stats\r\n" | nc -u IP-adresse 11211"-kommandoen, hvis returindholdet ikke er tomt, indikerer det, at din server kan være påvirket.
Opløsning:
1. Hvis du bruger Memcached-tjenesten og åbner 11211 UDP-porten, anbefales det, at du bruger ECS security group policy eller andre firewall-politikker til at blokere UDP 11211-porten i retning af det offentlige netværk i henhold til forretningssituationen for at sikre, at den Memcachede server og internettet ikke kan tilgås via UDP.
2. Det anbefales, at du tilføjer parameteren "-U 0" for at genstarte den memcachede service og deaktivere UDP helt.
3. Memcached har officielt udgivet en ny version, der deaktiverer UDP 11211-porten som standard, det anbefales, at du opgraderer til den nyeste version 1.5.6.Downloadadresse: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Filintegritetskontrol SHA-værdi: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Det anbefales, at du styrker sikkerheden for den kørende Memcached-tjeneste, såsom at aktivere binding af lokal lytte-IP, forbyde ekstern adgang, deaktivere UDP-protokollen og aktivere loginautentificering og andre sikkerhedsfunktioner for at forbedre sikkerheden af Memcached.
Klik for at se den detaljerede Memcached Service Hardening Manual.
Verifikationsmetode:
Når rettelsen er færdig, kan du bruge følgende metoder til at teste, om serverrettelsen er effektiv:
1. Hvis du har blokeret den eksterne TCP-protokol 11211-port, kan du bruge kommandoen "telnet ip 11211" på den eksterne netværkskontorcomputer; hvis returforbindelsen fejler, betyder det, at den eksterne TCP-protokol 11211-port er blevet lukket;
2. Hvis du har deaktiveret UDP-protokollen for Memcached-tjenesten på din server, kan du køre følgende "echo -en "\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00stats\r\n" | nc -u IP-adresse 11211" for at tjekke, om den memcachede service UDP-protokol er slået fra, tjek det returnerede indhold, hvis det returnerede indhold er tomt, betyder det, at din server har løst sårbarheden, du kan også bruge "netstat -an |" grep udp" for at se, om port UDP 11211 lytter, hvis ikke, er den memcachede UDP-protokol blevet lukket ned med succes. |
Opslået på 07/03/2018 16.43.08
|
|
|
