Tällä viikolla Alibaba Cloud Security Center havaitsi haitallisia hyökkäyksiä Internetissä käyttäen Memcached-palvelun haavoittuvuuksia. Jos asiakas avaa UDP-protokollan oletuksena eikä käytä käyttöoikeuksien hallintaa, hakkerit voivat hyödyntää Memcached-palvelua sen käytössä, mikä johtaa lähtevän kaistanleveyden kulutukseen tai prosessorin resurssien kulutukseen.
Alibaba Cloud Cloud Cloud Database Memcache Edition ei käytä UDP-protokollaa eikä ole oletuksena tämän ongelman vaikutuksen alainen. Samaan aikaan Alibaba Cloud muistuttaa käyttäjiä kiinnittämään huomiota omaan liiketoimintaansa ja aloittamaan hätätutkinnat.
Vaikutusalueet:
Käyttäjä rakensi Memcached-palvelun Memcached 11211 UDP -portille.
Tutkintasuunnitelma:
1. Testataksesi, onko Memcached 11211 UDP -portti auki ulkoisesta Internetistä, voit käyttää nc-työkalua testataksesi porttia ja nähdäksesi, toimiiko Memcached-prosessi palvelimella.
Testiportti: nc -vuz IP-osoite 11211
Testaa, onko memcached-palvelu avoin yleisölle: telnet IP-osoite 11211, jos portti 11211 on auki, se voi olla vaikutuksen alaisena
Tarkista prosessin tila: ps -aux | grep memcached
2. Käytä "echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | NC -u IP-osoite 11211" -komento, jos palautussisältö ei ole tyhjä, se tarkoittaa, että palvelimesi saattaa olla vaikutuksen alaisena.
Ratkaisu:
1. Jos käytät Memcached-palvelua ja avaat 11211-UDP-portin, suositellaan käyttämään ECS:n tietoturvaryhmäkäytäntöä tai muita palomuuripolitiikkoja estääksesi UDP 11211 -portin julkisessa verkossa liiketoimintatilanteen mukaan, jotta Memcached-palvelinta ja Internetiä ei pääse UDP:n kautta.
2. Suositellaan, että lisäät "-U 0" -parametrin käynnistääksesi memcached-palvelun uudelleen ja poistaaksesi UDP:n kokonaan käytöstä.
3. Memcached on virallisesti julkaissut uuden version, joka poistaa UDP 11211 -portin oletuksena käytöstä, ja suosittelemme päivittämään uusimpaan versioon 1.5.6.Latausosoite: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Tiedoston eheystarkistus SHA-arvo: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Suositellaan, että vahvistat käynnissä olevan Memcached-palvelun turvallisuutta, kuten sallimalla paikallisen kuuntelu-IP:n sitomisen, kieltämällä ulkoisen pääsyn, poistamalla UDP-protokollan käytöstä sekä ottamalla käyttöön kirjautumisen tunnistautuminen ja muut tietoturvatoiminnot Memcachedin turvallisuuden parantamiseksi.
Klikkaa nähdäksesi yksityiskohtaisen Memcached Service Hardening Manualin.
Varmennusmenetelmä:
Kun korjaus on valmis, voit käyttää seuraavia menetelmiä testataksesi, onko palvelinkorjaus tehokas:
1. Jos olet estänyt ulkoisen TCP-protokollan 11211-portin, voit käyttää komentoa "telnet ip 11211" ulkoisen verkkotoimiston tietokoneella; jos paluuyhteys epäonnistuu, se tarkoittaa, että ulkoinen TCP-protokollan 11211-portti on suljettu;
2. Jos olet poistanut UDP-protokollan käytöstä Memcached-palvelulle palvelimellasi, voit ajaa seuraavan "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP-osoite 11211" tarkistaaksesi, onko memcached-palvelun UDP-protokolla pois päältä, tarkista palautettu sisältö, jos palautettu sisältö on tyhjä, se tarkoittaa, että palvelimesi on onnistuneesti korjannut haavoittuvuuden, voit myös käyttää "netstat -an |" grep udp" tarkistaakseen, kuunteleeko portti UDP 11211; jos ei, memcachedattu UDP-protokolla on onnistuneesti sammutettu. |
Julkaistu 7.3.2018 16.43.08
|
|
|
