Esta semana, el Alibaba Cloud Security Center detectó ataques maliciosos en Internet utilizando vulnerabilidades en el servicio Memcached. Si el cliente abre el protocolo UDP por defecto y no utiliza el control de acceso, los hackers pueden explotar el servicio Memcached al ejecutarlo, lo que resulta en un consumo de ancho de banda saliente o de recursos de la CPU.
La edición Memcache de la base de datos en la nube de Alibaba Cloud no utiliza el protocolo UDP y no se ve afectada por este problema por defecto. Al mismo tiempo, Alibaba Cloud recuerda a los usuarios que presten atención a su propio negocio y comiencen investigaciones de emergencia.
Áreas afectadas:
El usuario creó el servicio Memcached en el puerto UDP Memcached 11211.
Plan de investigación:
1. Para comprobar si el puerto UDP 11211 con Memcached está abierto desde Internet externo, puedes usar la herramienta nc para probar el puerto y ver si el proceso Memcached se está ejecutando en el servidor.
Puerto de prueba: nc -vuz dirección IP 11211
Prueba si el servicio memcached está abierto al público: dirección IP de telnet 11211; si el puerto 11211 está abierto, puede verse afectado
Comprobar el estado del proceso: ps -aux | grep memcached
2. Usa "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u dirección IP 11211", si el contenido de retorno no está vacío, indica que tu servidor puede verse afectado.
Solución:
1. Si usas el servicio Memcached y abres el puerto UDP 11211, se recomienda que utilices la política de grupo de seguridad de ECS u otras políticas de firewall para bloquear el puerto UDP 11211 en la dirección de la red pública según la situación empresarial, asegurando que el servidor Memcached y Internet no puedan ser accedidos a través de UDP.
2. Se recomienda añadir el parámetro "-U 0" para reiniciar el servicio memcached y desactivar completamente UDP.
3. Memcached ha lanzado oficialmente una nueva versión que desactiva el puerto UDP 11211 por defecto, se recomienda actualizar a la última versión 1.5.6.Dirección de descarga: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Valor SHA de comprobación de integridad del archivo: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Se recomienda reforzar la seguridad del servicio Memcached en ejecución, como habilitar la vinculación de IPs de escucha local, prohibir el acceso externo, desactivar el protocolo UDP y habilitar la autenticación de inicio de sesión y otras funciones de seguridad para mejorar la seguridad de Memcached.
Haz clic para ver el manual detallado de endurecimiento de servicio Memcached.
Método de verificación:
Una vez completada la corrección, puedes utilizar los siguientes métodos para comprobar si la solución del servidor es efectiva:
1. Si has bloqueado el puerto externo del protocolo TCP 11211, puedes usar el comando "telnet ip 11211" en el ordenador de la oficina de red externa; si falla la conexión de retorno, significa que el puerto externo del protocolo TCP 11211 ha sido cerrado;
2. Si has desactivado el protocolo UDP para el servicio Memcached en tu servidor, puedes ejecutar el siguiente "echo -en" \x00\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u dirección IP 11211" para comprobar si el protocolo UDP del servicio memcached está desactivado, comprobar el contenido devuelto; si el contenido devuelto está vacío, significa que tu servidor ha solucionado la vulnerabilidad con éxito, también puedes usar "netstat -an |" grep udp" para comprobar si el puerto UDP 11211 está escuchando, si no, el protocolo UDP memcached ha sido apagado con éxito. |
Publicado en 7/3/2018 16:43:08
|
|
|
