In dieser Woche entdeckte das Alibaba Cloud Security Center bösartige Angriffe im Internet, die Schwachstellen im Memcached-Dienst nutzten. Wenn der Kunde das UDP-Protokoll standardmäßig öffnet und keine Zugriffskontrolle verwendet, können Hacker den Memcached-Dienst beim Betrieb ausnutzen, was zu ausgehendem Bandbreitenverbrauch oder CPU-Ressourcenverbrauch führt.
Alibaba Cloud Cloud Cloud Database Memcache Edition verwendet das UDP-Protokoll nicht und ist standardmäßig nicht von diesem Problem betroffen. Gleichzeitig erinnert Alibaba Cloud die Nutzer daran, sich auf ihr eigenes Geschäft zu konzentrieren und Notfalluntersuchungen einzuleiten.
Betroffene Gebiete:
Der Nutzer baute den Memcached-Dienst auf dem Memcached 11211 UDP-Port.
Untersuchungsplan:
1. Um zu testen, ob der Memcached 11211 UDP-Port vom externen Internet aus geöffnet ist, können Sie das nc-Tool verwenden, um den Port zu testen und zu sehen, ob der Memcached-Prozess auf dem Server läuft.
Testport: nc -vuz IP-Adresse 11211
Testen Sie, ob der gecachte Dienst für die Öffentlichkeit zugänglich ist: Telnet-IP-Adresse 11211, wenn Port 11211 offen ist, kann er betroffen sein
Prozessstatus prüfen: ps -aux | grep memcached
2. Verwenden Sie "echo -en" \x00\x00\x00\x00\x00\x01\x00\x00\x00stats\r\n" | nc -u IP-Adresse 11211"-Befehl, wenn der Rückkehrinhalt nicht leer ist, deutet das darauf hin, dass dein Server betroffen sein könnte.
Lösung:
1. Wenn Sie den Memcached-Dienst verwenden und den 11211 UDP-Port öffnen, wird empfohlen, die ECS-Sicherheitsgruppenrichtlinie oder andere Firewall-Richtlinien zu verwenden, um den UDP 11211-Port in Richtung des öffentlichen Netzwerks entsprechend der Geschäftslage zu blockieren, um sicherzustellen, dass der Memcached-Server und das Internet nicht über UDP zugänglich sind.
2. Es wird empfohlen, den Parameter "-U 0" hinzuzufügen, um den memcacheten Dienst neu zu starten und UDP vollständig zu deaktivieren.
3. Memcached hat offiziell eine neue Version veröffentlicht, die standardmäßig den UDP 11211-Port deaktiviert; es wird empfohlen, auf die neueste Version 1.5.6 aufzurüsten.Download-Adresse: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Dateiintegritätsprüfung SHA-Wert: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Es wird empfohlen, die Sicherheit des laufenden Memcached-Dienstes zu verstärken, z. B. durch die Bindung einer lokalen Listening-IP, das Verbot externen Zugriffs, das Deaktivieren des UDP-Protokolls sowie die Aktivierung der Login-Authentifizierung und anderer Sicherheitsfunktionen, um die Sicherheit von Memcached zu verbessern.
Klicken Sie hier, um das detaillierte Memcached Service Hardening Manual anzusehen.
Verifikationsmethode:
Sobald die Korrektur abgeschlossen ist, können Sie folgende Methoden verwenden, um zu testen, ob die Serverkorrektur wirksam ist:
1. Wenn Sie den externen TCP-Protokoll-Port 11211 blockiert haben, können Sie den Befehl "telnet ip 11211" auf dem externen Netzwerkbüro-Computer verwenden; wenn die Rückkehrverbindung fehlschlägt, bedeutet das, dass der externe TCP-Protokoll-Port 11211 geschlossen wurde;
2. Wenn Sie das UDP-Protokoll für den Memcached-Dienst auf Ihrem Server deaktiviert haben, können Sie folgendes ausführen: "echo -en"\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00stats\r\n" | nc -u IP-Adresse 11211", um zu überprüfen, ob das memcached Service UDP-Protokoll deaktiviert ist, prüfen Sie den zurückgegebenen Inhalt. Wenn der zurückgegebene Inhalt leer ist, bedeutet das, dass Ihr Server die Schwachstelle erfolgreich behoben hat. Sie können auch "netstat -an |" verwenden. grep udp", um zu sehen, ob Port UDP 11211 mithört, falls nicht, wurde das gecachte UDP-Protokoll erfolgreich abgeschaltet. |
Veröffentlicht am 07.03.2018 16:43:08
|
|
|
