На этой неделе Центр облачной безопасности Alibaba обнаружил вредоносные атаки в Интернете с использованием уязвимостей сервиса Memcached. Если клиент открывает протокол UDP по умолчанию и не использует контроль доступа, хакеры могут использовать сервис Memcached при его запуске, что приведёт к расходу исходящей пропускной способности или ресурсов CPU.
Alibaba Cloud Cloud Cloud Database Memcache Edition не использует протокол UDP и по умолчанию не подвергается этой проблеме. В то же время Alibaba Cloud напоминает пользователям обращать внимание на собственный бизнес и начинать экстренные расследования.
Поражённые районы:
Пользователь построил сервис Memcached на UDP-порте Memcached 11211.
План расследования:
1. Чтобы проверить, открыт ли UDP-порт Memcached 11211 из внешнего Интернета, вы можете использовать инструмент nc, чтобы проверить порт и проверить, работает ли процесс Memcached на сервере.
Тестовый порт: nc -vuz IP address 11211
Проверьте, открыт ли сервис memcached для публики: telnet IP-адрес 11211, если порт 11211 открыт, он может быть затронут
Проверьте статус процесса: ps -aux | grep memcached
2. Используйте "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | NC -u IP address 11211", если возвратное содержимое не пусто, это указывает на то, что ваш сервер может пострадать.
Решение:
1. Если вы используете сервис Memcached и откроете порт 11211 UDP, рекомендуется использовать политику ECS Security Group или другие политики межсетевого экрана для блокировки порта UDP 11211 в общественной сети в зависимости от бизнес-ситуации, чтобы обеспечить невозможность доступа к серверу Memcached и Интернету через UDP.
2. Рекомендуется добавить параметр «-U 0» для перезапуска сервиса memcached и полного отключения UDP.
3. Memcached официально выпустил новую версию, которая по умолчанию отключает порт UDP 11211, рекомендуется обновиться до последней версии 1.5.6.Адрес для скачивания: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Проверка целостности файла — значение SHA: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Рекомендуется усилить безопасность запускающегося сервиса Memcached, например, включить привязку локального прослушивающего IP, запретить внешний доступ, отключить протокол UDP и включить аутентификацию входа и другие функции безопасности для повышения безопасности Memcached.
Нажмите, чтобы просмотреть подробное руководство по закалке сервиса Memcached.
Метод верификации:
После завершения исправления вы можете использовать следующие методы для проверки эффективности серверного исправления:
1. Если вы заблокировали порт внешнего протокола TCP 11211, вы можете использовать команду «telnet ip 11211» на внешнем сетевом офисном компьютере; если возвратное соединение не выходит из строя, это означает, что порт внешнего протокола TCP 11211 закрыт;
2. Если вы отключили протокол UDP для сервиса Memcached на вашем сервере, вы можете запустить следующий "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP-адрес 11211" для проверки, отключен ли протокол UDP сервиса memcached, проверьте возвращённый контент; если возвращённый контент пуст, значит, ваш сервер успешно устранил уязвимость, вы также можете использовать "netstat -an |" grep udp", чтобы проверить, слушает ли порт UDP 11211, если нет — протокол memcached UDP успешно отключен. |
Опубликовано 07.03.2018 16:43:08
|
|
|
