Sel nädalal avastas Alibaba pilveturbe keskus pahatahtlikke rünnakuid internetis, kasutades Memcached teenuse haavatavusi. Kui klient avab vaikimisi UDP protokolli ega kasuta juurdepääsukontrolli, võivad häkkerid Memcached teenust selle käivitamisel ära kasutada, mis põhjustab väljamineva ribalaiuse või protsessori ressursside tarbimist.
Alibaba Cloud Cloud Cloud Database Memcache Edition ei kasuta UDP protokolli ega ole vaikimisi sellest probleemist mõjutatud. Samal ajal tuletab Alibaba Cloud kasutajatele meelde, et nad pööraksid tähelepanu oma ärile ja alustaksid hädaolukorra uurimisi.
Mõjutatud piirkonnad:
Kasutaja ehitas Memcached teenuse Memcached 11211 UDP pordile.
Uurimisplaan:
1. Et testida, kas Memcached 11211 UDP port on välisest internetist avatud, saate kasutada nc tööriista, et testida porti ja kontrollida, kas Memcached protsess töötab serveris.
Testport: nc -vuz IP-aadress 11211
Testi, kas memcachetud teenus on avalikkusele avatud: telnet IP-aadress 11211, kui port 11211 on avatud, võib see olla mõjutatud
Kontrolli protsessi olekut: ps -aux | grep memcached
2. Kasuta "echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | NC -u IP aadress 11211" käsk, kui tagastatav sisu ei ole tühi, näitab see, et sinu server võib olla mõjutatud.
Lahus:
1. Kui kasutad Memcached teenust ja avad 11211 UDP pordi, soovitatakse kasutada ECS turvagrupi poliitikat või muid tulemüüri poliitikaid, et blokeerida UDP 11211 port avalikus võrgus vastavalt äriolukorrale, tagamaks, et Memcached serverile ja Internetile ei pääseks UDP kaudu.
2. Soovitatav on lisada parameeter "-U 0", et taaskäivitada memcached teenus ja keelata UDP täielikult.
3. Memcached on ametlikult välja andnud uue versiooni, mis keelab vaikimisi UDP 11211 pordi, soovitatav on uuendada uusimale versioonile 1.5.6.Allalaadimise aadress: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Faili terviklikkuse kontroll SHA väärtus: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Soovitatav on tugevdada töötava Memcachedi teenuse turvalisust, näiteks võimaldada kohaliku kuulamis-IP sidumist, keelata väline ligipääs, keelata UDP protokoll ning lubada sisselogimise autentimine ja muud turvafunktsioonid Memcachedi turvalisuse parandamiseks.
Klõpsa, et vaadata üksikasjalikku Memcached Service Hardening Manual'i.
Verifitseerimismeetod:
Kui parandus on lõpetatud, saate kasutada järgmisi meetodeid, et testida, kas serveri parandus on tõhus:
1. Kui olete blokeerinud välise TCP protokolli 11211 pordi, saate kasutada käsku "telnet ip 11211" välisvõrgu kontoriarvutis; kui tagasiühendus ebaõnnestub, tähendab see, et väline TCP protokolli 11211 port on suletud;
2. Kui oled oma serveris Memcached teenuse UDP protokolli välja lülitanud, saad käivitada järgmise "echo -en "\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP aadress 11211", et kontrollida, kas memcached teenuse UDP protokoll on välja lülitatud, kontrolli tagastatud sisu, kui tagastatud sisu on tühi, tähendab see, et su server on haavatavuse edukalt parandanud, võid kasutada ka "netstat -an |" grep udp", et kontrollida, kas port UDP 11211 kuulab, kui mitte, siis on memcached UDP protokoll edukalt välja lülitatud. |
Postitatud 07.03.2018 16:43:08
|
|
|
