|
|
Publisert på 07.03.2018 16:43:08
|
|
|
Denne uken oppdaget Alibaba Cloud Security Center ondsinnede angrep på Internett ved bruk av sårbarheter i Memcached-tjenesten. Hvis kunden åpner UDP-protokollen som standard og ikke bruker tilgangskontroll, kan hackere utnytte Memcached-tjenesten under kjøring, noe som resulterer i utgående båndbreddeforbruk eller CPU-ressursforbruk.
Alibaba Cloud Cloud Cloud Database Memcache Edition bruker ikke UDP-protokollen og påvirkes ikke av dette problemet som standard. Samtidig minner Alibaba Cloud brukerne om å være oppmerksom på sin egen virksomhet og starte nødetterforskninger.
Berørte områder:
Brukeren bygde Memcached-tjenesten på Memcached 11211 UDP-porten.
Etterforskningsplan:
1. For å teste om Memcached 11211 UDP-porten er åpen fra ekstern Internett, kan du bruke nc-verktøyet for å teste porten og se om Memcached-prosessen kjører på serveren.
Testport: nc -vuz IP-adresse 11211
Test om den memcachede tjenesten er åpen for publikum: telnet IP-adresse 11211, hvis port 11211 er åpen, kan den bli påvirket
Sjekk prosessstatus: ps -aux | grep memcached
2. Bruk "echo -en" \x00\x00\x00\x00\x00\x00\x01\x00\x00\x00stats\r\n" | nc -u IP-adresse 11211"-kommandoen, hvis returinnholdet ikke er tomt, indikerer det at serveren din kan være påvirket.
Løsning:
1. Hvis du bruker Memcached-tjenesten og åpner 11211 UDP-porten, anbefales det at du bruker ECS sikkerhetsgruppepolicy eller andre brannmurpolicyer for å blokkere UDP 11211-porten i offentlig nettverksretning i henhold til forretningssituasjonen, for å sikre at Memcached-serveren og Internett ikke kan nås via UDP.
2. Det anbefales at du legger til parameteren "-U 0" for å starte den memcachede tjenesten på nytt og deaktivere UDP helt.
3. Memcached har offisielt gitt ut en ny versjon som deaktiverer UDP 11211-porten som standard, det anbefales at du oppgraderer til siste versjon 1.5.6.Nedlastingsadresse: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Filintegritetssjekk SHA-verdi: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Det anbefales at du styrker sikkerheten til den kjørende Memcached-tjenesten, for eksempel ved å aktivere binding av lokal lytte-IP, forby ekstern tilgang, deaktivere UDP-protokollen, og aktivere innloggingsautentisering og andre sikkerhetsfunksjoner for å forbedre sikkerheten til Memcached.
Klikk for å se den detaljerte Memcached Service Hardening Manual.
Verifiseringsmetode:
Når fiksen er fullført, kan du bruke følgende metoder for å teste om serverfiksen er effektiv:
1. Hvis du har blokkert den eksterne TCP-protokoll 11211-porten, kan du bruke kommandoen "telnet ip 11211" på den eksterne nettverkskontor-datamaskinen; hvis returforbindelsen feiler, betyr det at den eksterne TCP-protokoll 11211-porten er lukket;
2. Hvis du har deaktivert UDP-protokollen for Memcached-tjenesten på serveren din, kan du kjøre følgende "echo -en "\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00stats\r\n" | nc -u IP-adresse 11211" for å sjekke om den memcachede tjenesten UDP-protokollen er slått av, sjekk det returnerte innholdet, hvis det returnerte innholdet er tomt, betyr det at serveren din har fikset sårbarheten, du kan også bruke "netstat -an |" grep udp" for å se om port UDP 11211 lytter, hvis ikke, har den memcachede UDP-protokollen blitt slått av. |
Foregående:QTUM lanserer forbrukerminer for £79,99Neste:Qtum-lommebokbruk og PoS-mining-veiledning
|
