Αυτή την εβδομάδα, το Alibaba Cloud Security Center εντόπισε κακόβουλες επιθέσεις στο Διαδίκτυο χρησιμοποιώντας ευπάθειες στην υπηρεσία Memcached. Εάν ο πελάτης ανοίξει το πρωτόκολλο UDP από προεπιλογή και δεν χρησιμοποιεί έλεγχο πρόσβασης, οι χάκερ ενδέχεται να εκμεταλλευτούν την υπηρεσία Memcached κατά την εκτέλεσή της, με αποτέλεσμα την κατανάλωση εξερχόμενου εύρους ζώνης ή την κατανάλωση πόρων CPU.
Το Alibaba Cloud Cloud Cloud Database Memcache Edition δεν χρησιμοποιεί το πρωτόκολλο UDP και δεν επηρεάζεται από αυτό το ζήτημα από προεπιλογή. Ταυτόχρονα, το Alibaba Cloud υπενθυμίζει στους χρήστες να δώσουν προσοχή στη δική τους επιχείρηση και να ξεκινήσουν επείγουσες έρευνες.
Πληγείσες περιοχές:
Ο χρήστης δημιούργησε την υπηρεσία Memcached στη θύρα UDP Memcached 11211.
Σχέδιο έρευνας:
1. Για να ελέγξετε εάν η θύρα Memcached 11211 UDP είναι ανοιχτή από το εξωτερικό Internet, μπορείτε να χρησιμοποιήσετε το εργαλείο nc για να ελέγξετε τη θύρα και να δείτε εάν η διεργασία Memcached εκτελείται στο διακομιστή.
Θύρα δοκιμής: nc -vuz Διεύθυνση IP 11211
Ελέγξτε εάν η υπηρεσία memcached είναι ανοιχτή στο κοινό: διεύθυνση IP telnet 11211, εάν η θύρα 11211 είναι ανοιχτή, ενδέχεται να επηρεαστεί
Ελέγξτε την κατάσταση της διαδικασίας: ps -aux | grep memcached
2. Χρησιμοποιήστε το "echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u Διεύθυνση IP 11211", εάν το περιεχόμενο επιστροφής δεν είναι κενό, σημαίνει ότι ο διακομιστής σας μπορεί να επηρεαστεί.
Λύση:
1. Εάν χρησιμοποιείτε την υπηρεσία Memcached και ανοίξετε τη θύρα UDP 11211, συνιστάται να χρησιμοποιήσετε την πολιτική ομάδας ασφαλείας ECS ή άλλες πολιτικές τείχους προστασίας για να αποκλείσετε τη θύρα UDP 11211 προς την κατεύθυνση του δημόσιου δικτύου σύμφωνα με την επιχειρηματική κατάσταση για να διασφαλίσετε ότι δεν είναι δυνατή η πρόσβαση στον διακομιστή Memcached και στο Internet μέσω UDP.
2. Συνιστάται να προσθέσετε την παράμετρο "-U 0" για να επανεκκινήσετε την υπηρεσία memcached και να απενεργοποιήσετε πλήρως το UDP.
3. Το Memcached κυκλοφόρησε επίσημα μια νέα έκδοση που απενεργοποιεί τη θύρα UDP 11211 από προεπιλογή, συνιστάται να κάνετε αναβάθμιση στην πιο πρόσφατη έκδοση 1.5.6.Διεύθυνση λήψης: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Τιμή SHA ελέγχου ακεραιότητας αρχείου: CA35929E74B132C2495A6957CFDC80556337FB90).
4. Συνιστάται να ενισχύσετε την ασφάλεια της εκτελούμενης υπηρεσίας Memcached, όπως να ενεργοποιήσετε τη δέσμευση της τοπικής IP ακρόασης, να απαγορεύσετε την εξωτερική πρόσβαση, να απενεργοποιήσετε το πρωτόκολλο UDP και να ενεργοποιήσετε τον έλεγχο ταυτότητας σύνδεσης και άλλες λειτουργίες ασφαλείας για τη βελτίωση της ασφάλειας του Memcached.
Κάντε κλικ για να δείτε το λεπτομερές Εγχειρίδιο σκλήρυνσης υπηρεσίας Memcached.
Μέθοδος επαλήθευσης:
Μόλις ολοκληρωθεί η επιδιόρθωση, μπορείτε να χρησιμοποιήσετε τις ακόλουθες μεθόδους για να ελέγξετε εάν η επιδιόρθωση διακομιστή είναι αποτελεσματική:
1. Εάν έχετε αποκλείσει την εξωτερική θύρα πρωτοκόλλου TCP 11211, μπορείτε να χρησιμοποιήσετε την εντολή "telnet ip 11211" στον εξωτερικό υπολογιστή γραφείου δικτύου, εάν η σύνδεση επιστροφής αποτύχει, σημαίνει ότι η εξωτερική θύρα πρωτοκόλλου TCP 11211 έχει κλείσει.
2. Εάν έχετε απενεργοποιήσει το πρωτόκολλο UDP για την υπηρεσία Memcached στον διακομιστή σας, μπορείτε να εκτελέσετε τα ακόλουθα "echo -en "\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u Διεύθυνση IP 11211" για να ελέγξετε εάν το πρωτόκολλο UDP της υπηρεσίας memcached είναι απενεργοποιημένο, ελέγξτε το περιεχόμενο που επιστρέφεται, εάν το περιεχόμενο που επιστρέφεται είναι κενό, σημαίνει ότι ο διακομιστής σας έχει διορθώσει με επιτυχία την ευπάθεια, μπορείτε επίσης να χρησιμοποιήσετε το "netstat -an |" grep udp" για να δείτε εάν η θύρα UDP 11211 ακούει, εάν όχι, το πρωτόκολλο UDP memcached έχει τερματιστεί με επιτυχία. |
Δημοσιεύτηκε στις 7/3/2018 4:43:08 μ.μ.
|
|
|
