|
|
Publié sur 07/03/2018 16:43:08
|
|
|
Cette semaine, le Centre de Sécurité Cloud Alibaba a détecté des attaques malveillantes sur Internet utilisant des vulnérabilités du service Memcached. Si le client ouvre le protocole UDP par défaut et n’utilise pas le contrôle d’accès, les pirates peuvent exploiter le service Memcached lors de son exécution, ce qui entraîne une consommation de bande passante sortante ou de ressources CPU.
Alibaba Cloud Cloud Database Memcache Edition n’utilise pas le protocole UDP et n’est pas concerné par défaut par ce problème. Parallèlement, Alibaba Cloud rappelle aux utilisateurs de prêter attention à leur propre activité et de lancer des enquêtes d’urgence.
Zones touchées :
L’utilisateur a construit le service Memcached sur le port UDP Memcached 11211.
Plan d’enquête :
1. Pour tester si le port UDP 11211 Memcached est ouvert depuis l’Internet externe, vous pouvez utiliser l’outil nc pour tester le port et voir si le processus Memcached tourne sur le serveur.
Port de test : nc -vuz adresse IP 11211
Testez si le service memcaché est ouvert au public : adresse IP telnet 11211, si le port 11211 est ouvert, il peut être affecté
Vérifier le statut du processus : ps -aux | grep memcached
2. Utiliser « echo -en « \x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n » | nc -u adresse IP 11211", si le contenu de retour n’est pas vide, cela indique que votre serveur peut être affecté.
Solution:
1. Si vous utilisez le service Memcached et ouvrez le port UDP 11211, il est recommandé d’utiliser la politique de groupe de sécurité ECS ou d’autres politiques de pare-feu pour bloquer le port UDP 11211 dans la direction du réseau public selon la situation commerciale, afin de garantir que le serveur Memcached et Internet ne puissent pas être accessibles via UDP.
2. Il est recommandé d’ajouter le paramètre « -U 0 » pour redémarrer le service memcached et désactiver complètement UDP.
3. Memcached a officiellement publié une nouvelle version qui désactive par défaut le port UDP 11211, il est recommandé de passer à la dernière version 1.5.6.Adresse de téléchargement : http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Valeur SHA de vérification de l’intégrité du fichier : CA35929E74B132C2495A6957CFDC80556337FB90) ;
4. Il est recommandé de renforcer la sécurité du service Memcached en cours d’exécution, comme l’activation de la liaison d’une IP d’écoute locale, l’interdiction de l’accès externe, la désactivation du protocole UDP, et l’activation de l’authentification de connexion ainsi que d’autres fonctions de sécurité pour améliorer la sécurité de Memcached.
Cliquez pour consulter le manuel détaillé de durcissement de service Memcached.
Méthode de vérification :
Une fois la correction terminée, vous pouvez utiliser les méthodes suivantes pour tester si la correction du serveur est efficace :
1. Si vous avez bloqué le port externe du protocole TCP 11211, vous pouvez utiliser la commande « telnet ip 11211 » sur l’ordinateur externe du bureau réseau, si la connexion de retour échoue, cela signifie que le port externe du protocole TCP 11211 a été fermé ;
2. Si vous avez désactivé le protocole UDP pour le service Memcached sur votre serveur, vous pouvez exécuter le suivant « echo -en « \x00\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n » | nc -u adresse IP 11211 » pour vérifier si le protocole UDP du service memcached est désactivé, vérifier le contenu retourné, si le contenu retourné est vide, cela signifie que votre serveur a correct la vulnérabilité, vous pouvez aussi utiliser « netstat -an | » grep udp » pour vérifier si le port UDP 11211 écoute, sinon le protocole UDP memcaché a été désactivé avec succès. |
Précédent:QTUM lance un mineur grand public pour 79,99 £Prochain:Utilisation du portefeuille Qtum et tutoriel de minage PoS
|
