Ezen a héten az Alibaba Cloud Security Center rosszindulatú támadásokat észlelt az interneten a Memcached szolgáltatás sebezhetőségeivel történő felhasználásával. Ha az ügyfél alapértelmezettben megnyitja az UDP protokollt, és nem használja hozzáférés-vezérlést, a hackerek kihasználhatják a Memcached szolgáltatást futtatása közben, ami kimeneti sávszélesség-fogyasztáshoz vagy CPU erőforrás-fogyasztáshoz vezethet.
Az Alibaba Cloud Cloud Cloud Database Memcache Edition nem használja az UDP protokollt, és alapértelmezés szerint nem érinti ezt a problémát. Ugyanakkor az Alibaba Cloud emlékezteti a felhasználókat, hogy figyeljenek saját vállalkozásukra és indítsanak vészhelyzeti vizsgálatokat.
Érintett területek:
A felhasználó a Memcached szolgáltatást a Memcached 11211 UDP porton építette fel.
Vizsgálati terv:
1. Annak teszteléséhez, hogy a Memcached 11211 UDP port nyitva van-e külső internetről, az nc eszközzel tesztelheti a portot, és megnézheti, fut-e a Memcached folyamat a szerveren.
Test port: nc -vuz IP address 11211
Tesztelje, hogy a memcached szolgáltatás nyitva áll-e a nyilvánosság számára: telnet IP cím 11211, ha a 11211-es port nyitva van, akkor érintett lehet
Ellenőrizze a folyamat állapotát: ps -aux | grep memcached
2. Használd az "echo -en" \x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | NC -u IP cím 11211" parancs esetén ha a visszaküldési tartalom nem üres, az azt jelzi, hogy a szervered érintett.
Megoldás:
1. Ha a Memcached szolgáltatást használod és megnyitod a 11211 UDP portot, ajánlott, hogy ECS biztonsági csoportpolitikát vagy más tűzfal szabályzatot használj az UDP 11211 portjának nyilvános hálózati irányban történő üzleti helyzet szerint, hogy biztosítsd a Memcached szerver és az Internet elérését UDP-n keresztül.
2. Ajánlott, hogy add hozzá a "-U 0" paramétert a memcached szolgáltatás újraindításához és az UDP teljes letiltásához.
3. A Memcached hivatalosan is kiadott egy új verziót, amely alapértelmezés szerint letiltja az UDP 11211 portot, ezért ajánlott frissíteni a legfrissebb 1.5.6-os verzióra.Letöltési cím: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Fájlintegritás ellenőrzése SHA értéke: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Ajánlott erősíteni a futó Memcached szolgáltatás biztonságát, például a helyi hallgatási IP kötésének engedélyezését, külső hozzáférés tiltását, az UDP protokoll letiltását, valamint bejelentkezési hitelesítést és egyéb biztonsági funkciókat a Memcached biztonságának javítása érdekében.
Kattintson a részletes Memcached Service Hardening Manual-hoz.
Ellenőrzési módszer:
Miután a javítás befejeződött, a következő módszereket használhatod annak tesztelésére, hogy a szerverjavítás hatékony-e:
1. Ha letiltottad a külső TCP protokoll 11211 portját, használhatod a "telnet ip 11211" parancsot a külső hálózati irodai számítógépen, ha a visszatérő kapcsolat meghibásodik, az azt jelenti, hogy a külső TCP protokoll 11211 portja le van zárva;
2. Ha letiltottad az UDP protokollt a Memcached szolgáltatásnál a szervereden, futtathatod a következő "echo -en "\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP cím 11211" segítségével ellenőrizheted, hogy a memcached szolgáltatás UDP protokollja ki van-e kapcsolva, ellenőrizd a visszaküldött tartalmat, ha a visszaküldött tartalom üres, az azt jelenti, hogy a szervered sikeresen javította a sebezhetőséget, használhatod a "netstat -an |" opciót is. grep udp" segítségével ellenőrizve, hogy az UDP 11211 port hallgat-e, ha nem, akkor a memcache-alapú UDP protokollt sikeresen leállították. |
Közzétéve 2018. 03. 07. 16:43:08
|
|
|
