Tento týždeň Alibaba Cloud Security Center odhalilo škodlivé útoky na internete pomocou zraniteľností v službe Memcached. Ak zákazník štandardne otvorí protokol UDP a nepoužije kontrolu prístupu, hackeri môžu zneužiť službu Memcached pri jej spustení, čo vedie k spotrebe odchádzajúcej šírky pásma alebo spotreby zdrojov CPU.
Alibaba Cloud Cloud Database Memcache Edition nepoužíva protokol UDP a tento problém sa ho štandardne netýka. Zároveň Alibaba Cloud pripomína používateľom, aby venovali pozornosť vlastnému podnikaniu a začali núdzové vyšetrovania.
Postihnuté oblasti:
Používateľ vytvoril službu Memcached na porte Memcached 11211 UDP.
Plán vyšetrovania:
1. Na overenie, či je port Memcached 11211 UDP otvorený z externého internetu, môžete použiť nástroj nc na testovanie portu a zistiť, či proces Memcached beží na serveri.
Test port: nc -vuz IP adresa 11211
Otestujte, či je memcachovaná služba otvorená pre verejnosť: telnet IP adresa 11211, ak je port 11211 otvorený, môže byť ovplyvnená
Skontrolujte stav procesu: ps -aux | Grep Memcached
2. Použite "echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | príkaz nc -u IP adresa 11211", ak vrátený obsah nie je prázdny, znamená to, že váš server môže byť ovplyvnený.
Riešenie:
1. Ak použijete službu Memcached a otvoríte port 11211 UDP, odporúča sa použiť bezpečnostnú skupinu ECS alebo iné firewallové politiky na zablokovanie portu UDP 11211 v smere verejnej siete podľa obchodnej situácie, aby sa zabezpečilo, že Memcached server a internet nebudú prístupné cez UDP.
2. Odporúča sa pridať parameter "-U 0" na reštart memcached služby a úplné deaktivovanie UDP.
3. Memcached oficiálne vydal novú verziu, ktorá štandardne deaktivuje port UDP 11211, odporúča sa upgradovať na najnovšiu verziu 1.5.6.Adresa na stiahnutie: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Kontrola integrity súboru SHA hodnota: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Odporúča sa posilniť bezpečnosť bežiacej Memcached služby, napríklad povoliť viazanie lokálnej počúvacej IP, zakázať externý prístup, vypnúť protokol UDP a povoliť prihlásenie a ďalšie bezpečnostné funkcie na zlepšenie bezpečnosti Memcached.
Kliknite pre zobrazenie podrobného Manuálu Memcached Service Hardening.
Metóda overovania:
Keď je oprava dokončená, môžete použiť nasledujúce metódy na testovanie, či je oprava servera účinná:
1. Ak ste zablokovali port externého TCP protokolu 11211, môžete použiť príkaz "telnet ip 11211" na počítači externej sieťovej kancelárie; ak návratové spojenie zlyhá, znamená to, že externý port TCP protokolu 11211 bol uzavretý;
2. Ak ste deaktivovali protokol UDP pre službu Memcached na vašom serveri, môžete spustiť nasledujúci "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP adresa 11211" na kontrolu, či je protokol memcached service UDP vypnutý, skontrolujte vrátený obsah, ak je vrátený obsah prázdny, znamená to, že váš server úspešne opravil zraniteľnosť, môžete tiež použiť "netstat -an |" grep udp" na zistenie, či port UDP 11211 počúva, ak nie, memcachovaný protokol UDP bol úspešne vypnutý. |
Zverejnené 7. 3. 2018 16:43:08
|
|
|
