W tym tygodniu Alibaba Cloud Security Center wykryło złośliwe ataki w Internecie z wykorzystaniem luk w usłudze Memcached. Jeśli klient domyślnie uruchomi protokół UDP i nie korzysta z kontroli dostępu, hakerzy mogą wykorzystać usługę Memcached podczas jej uruchamiania, co skutkuje zużyciem przepustowości wychodzącej lub CPU.
Alibaba Cloud Cloud Cloud Database Memcache Edition nie korzysta z protokołu UDP i domyślnie nie jest dotknięty tym problemem. Jednocześnie Alibaba Cloud przypomina użytkownikom, aby zwracali uwagę na własne sprawy i rozpoczęli awaryjne dochodzenia.
Obszary dotknięte:
Użytkownik zbudował usługę Memcached na porcie Memcached 11211 UDP.
Plan śledztwa:
1. Aby sprawdzić, czy port UDP Memcached 11211 jest otwarty z zewnętrznego Internetu, możesz użyć narzędzia nc, aby przetestować port i sprawdzić, czy proces Memcached działa na serwerze.
Port testowy: nc -vuz IP address 11211
Sprawdź, czy usługa memcached jest otwarta publicznie: adres IP telnet 11211, jeśli port 11211 jest otwarty, może być dotknięta
Sprawdź status procesu: ps -aux | grep pamiętnie przechowywany
2. Użyj "echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | np. adres adres 11211", jeśli treść zwrotna nie jest pusta, oznacza to, że serwer może być dotknięty.
Rozwiązanie:
1. Jeśli korzystasz z usługi Memcached i otwierasz port UDP 11211, zaleca się użycie polityki grupy bezpieczeństwa ECS lub innych polityk zapory, aby zablokować port UDP 11211 w kierunku sieci publicznej, zgodnie z warunkami biznesowymi, aby zapewnić, że serwer Memcached i Internet nie będą dostępne przez UDP.
2. Zaleca się dodanie parametru "-U 0", aby ponownie uruchomić usługę memcached i całkowicie wyłączyć UDP.
3. Memcached oficjalnie wydał nową wersję, która domyślnie wyłącza port UDP 11211, zaleca się aktualizację do najnowszej wersji 1.5.6.Adres do pobrania: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Sprawdzenie integralności pliku SHA: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Zaleca się wzmocnienie bezpieczeństwa działającej usługi Memcached, takie jak umożliwienie wiązania lokalnego podsłuchu IP, zakaz dostępu zewnętrznego, wyłączenie protokołu UDP oraz włączenie uwierzytelniania logowania i innych funkcji bezpieczeństwa, aby poprawić bezpieczeństwo Memcached.
Kliknij, aby zobaczyć szczegółowy podręcznik Memcached Service Hardening.
Metoda weryfikacji:
Po zakończeniu naprawy możesz użyć następujących metod, aby sprawdzić, czy naprawa serwera jest skuteczna:
1. Jeśli zablokowałeś zewnętrzny port protokołu TCP 11211, możesz użyć polecenia "telnet ip 11211" na komputerze zewnętrznego biura sieciowego; jeśli połączenie powrotne się nie powiedzie, oznacza to, że zewnętrzny port protokołu TCP 11211 został zamknięty;
2. Jeśli wyłączyłeś protokół UDP dla usługi Memcached na swoim serwerze, możesz uruchomić następujący "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00stats\r\n" | adres adres nc -u IP 11211", aby sprawdzić, czy protokół memcached service UDP jest wyłączony, sprawdź zwróconą treść, jeśli zwrócona treść jest pusta, oznacza to, że twój serwer skutecznie naprawił lukę, możesz też użyć "netstat -an |" grep udp", aby sprawdzić, czy port UDP 11211 słucha, jeśli nie, protokół memcached UDP został pomyślnie wyłączony. |
Opublikowano 07.03.2018 16:43:08
|
|
|
