Săptămâna aceasta, Alibaba Cloud Security Center a detectat atacuri malițioase pe Internet folosind vulnerabilități din serviciul Memcached. Dacă clientul deschide protocolul UDP implicit și nu folosește controlul accesului, hackerii pot exploata serviciul Memcached în timpul rulării acestuia, rezultând consum de lățime de bandă la ieșire sau consum de resurse CPU.
Alibaba Cloud Cloud Cloud Database Memcache Edition nu folosește protocolul UDP și nu este afectată implicit de această problemă. În același timp, Alibaba Cloud le reamintește utilizatorilor să fie atenți la propria afacere și să înceapă investigații de urgență.
Zone afectate:
Utilizatorul a construit serviciul Memcached pe portul UDP Memcached 11211.
Planul de investigație:
1. Pentru a testa dacă portul UDP 11211 cu Memcached este deschis de pe Internetul extern, poți folosi unealta nc pentru a testa portul și a vedea dacă procesul Memcached rulează pe server.
Port de test: nc -vuz adresă IP 11211
Verifică dacă serviciul memcached este deschis publicului: adresa IP telnet 11211, dacă portul 11211 este deschis, poate fi afectat
Verifică starea procesului: ps -aux | grep memcached
2. Folosește "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u adresă IP 11211", dacă conținutul de returnare nu este gol, indică faptul că serverul tău ar putea fi afectat.
Soluție:
1. Dacă folosești serviciul Memcached și deschizi portul UDP 11211, se recomandă să folosești politica grupului de securitate ECS sau alte politici de firewall pentru a bloca portul UDP 11211 în direcția rețelei publice, în funcție de situația de business, pentru a te asigura că serverul Memcached și Internetul nu pot fi accesate prin UDP.
2. Se recomandă să adăugați parametrul "-U 0" pentru a reporni serviciul memcached și a dezactiva complet UDP.
3. Memcached a lansat oficial o nouă versiune care dezactivează portul UDP 11211 implicit, se recomandă să faci upgrade la cea mai recentă versiune 1.5.6.Adresa de descărcare: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Valoarea SHA pentru verificarea integrității fișierului: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Se recomandă consolidarea securității serviciului Memcached în rulare, cum ar fi activarea legării IP-ului local de ascultare, interzicerea accesului extern, dezactivarea protocolului UDP și activarea autentificării de autentificare și a altor funcții de securitate pentru a îmbunătăți securitatea Memcached.
Faceți clic pentru a vedea Manualul detaliat de întărire a serviciului Memcached.
Metoda de verificare:
Odată ce remedierea este finalizată, poți folosi următoarele metode pentru a testa dacă remedierea serverului este eficientă:
1. Dacă ați blocat portul extern al protocolului TCP 11211, puteți folosi comanda "telnet ip 11211" pe calculatorul extern al biroului, iar dacă conexiunea de retur eșuează, înseamnă că portul extern al protocolului TCP 11211 a fost închis;
2. Dacă ai dezactivat protocolul UDP pentru serviciul Memcached de pe serverul tău, poți rula următorul "echo -en" \x00\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u adresa IP 11211" pentru a verifica dacă protocolul UDP al serviciului memcached este dezactivat, verifică conținutul returnat, dacă conținutul returnat este gol, înseamnă că serverul tău a corectat cu succes vulnerabilitatea, poți folosi și "netstat -an |" grep udp" pentru a verifica dacă portul UDP 11211 ascultă, dacă nu, protocolul UDP memcached a fost oprit cu succes. |
Postat pe 07.03.2018 16:43:08
|
|
|
