Šonedēļ Alibaba mākoņa drošības centrs atklāja ļaunprātīgus uzbrukumus internetā, izmantojot Memcached pakalpojuma ievainojamību. Ja klients pēc noklusējuma atver UDP protokolu un neizmanto piekļuves kontroli, hakeri var izmantot Memcached pakalpojumu, palaižot to, kā rezultātā tiek patērēts izejošs joslas platums vai CPU resursu patēriņš.
Alibaba Cloud Cloud Cloud Database Memcache Edition neizmanto UDP protokolu, un šī problēma to neietekmē pēc noklusējuma. Tajā pašā laikā Alibaba Cloud atgādina lietotājiem pievērst uzmanību savam biznesam un sākt ārkārtas izmeklēšanu.
Skartās teritorijas:
Lietotājs izveidoja Memcached pakalpojumu Memcached 11211 UDP portā.
Izpētes plāns:
1. Lai pārbaudītu, vai Memcached 11211 UDP ports ir atvērts no ārējā interneta, varat izmantot nc rīku, lai pārbaudītu portu un redzētu, vai Memcached process darbojas serverī.
Testa ports: nc -vuz IP adrese 11211
Pārbaudiet, vai memcached pakalpojums ir atvērts sabiedrībai: telnet IP adrese 11211, ja ports 11211 ir atvērts, tas var tikt ietekmēts
Pārbaudīt procesa statusu: ps -aux | grep memcached
2. Izmantojiet "echo -lv "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP adrese 11211", ja atgrieztais saturs nav tukšs, tas norāda, ka var tikt ietekmēts jūsu serveris.
Šķīdums:
1. Ja izmantojat Memcached pakalpojumu un atverat 11211 UDP portu, ieteicams izmantot ECS drošības grupas politiku vai citas ugunsmūra politikas, lai bloķētu UDP 11211 portu publiskā tīkla virzienā atbilstoši biznesa situācijai, lai nodrošinātu, ka Memcached serverim un internetam nevar piekļūt, izmantojot UDP.
2. Ieteicams pievienot parametru "-U 0", lai restartētu memcached pakalpojumu un pilnībā atspējotu UDP.
3. Memcached ir oficiāli izlaidis jaunu versiju, kas pēc noklusējuma atspējo UDP 11211 portu, ieteicams jaunināt uz jaunāko versiju 1.5.6.Lejupielādes adrese: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Faila integritātes pārbaudes SHA vērtība: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Ieteicams stiprināt darbojošā Memcached pakalpojuma drošību, piemēram, iespējot vietējā klausīšanās IP saistīšanu, aizliegt ārēju piekļuvi, atspējot UDP protokolu un iespējot pieteikšanās autentifikāciju un citas drošības funkcijas, lai uzlabotu Memcached drošību.
Noklikšķiniet, lai apskatītu detalizētu Memcached pakalpojumu sacietēšanas rokasgrāmatu.
Verifikācijas metode:
Kad labojums ir pabeigts, varat izmantot šādas metodes, lai pārbaudītu, vai servera labojums ir efektīvs:
1. Ja esat bloķējis ārējo TCP protokola 11211 portu, ārējā tīkla biroja datorā varat izmantot komandu "telnet ip 11211", ja atgriešanās savienojums neizdodas, tas nozīmē, ka ārējais TCP protokola 11211 ports ir slēgts;
2. Ja serverī esat atspējojis UDP protokolu Memcached pakalpojumam, varat palaist šādu "echo -lv "\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP adrese 11211", lai pārbaudītu, vai memcached pakalpojuma UDP protokols ir izslēgts, pārbaudiet atgriezto saturu, ja atgrieztais saturs ir tukšs, tas nozīmē, ka jūsu serveris ir veiksmīgi novērsis ievainojamību, varat arī izmantot "netstat -an |" grep udp", lai redzētu, vai ports UDP 11211 klausās, ja nē, memcached UDP protokols ir veiksmīgi izslēgts. |
Publicēts 07.03.2018 16:43:08
|
|
|
