Ta teden je Alibaba Cloud Security Center zaznal zlonamerne napade na internetu z uporabo ranljivosti v storitvi Memcached. Če stranka privzeto odpre protokol UDP in ne uporablja nadzora dostopa, lahko hekerji izkoristijo storitev Memcached med izvajanjem, kar povzroči porabo pasovne širine ali CPU virov.
Alibaba Cloud Cloud Database Memcache Edition ne uporablja protokola UDP in privzeto ni prizadet zaradi te težave. Hkrati Alibaba Cloud uporabnike opominja, naj se osredotočijo na svoje poslovanje in začnejo nujne preiskave.
Prizadeta območja:
Uporabnik je ustvaril storitev Memcached na Memcached 11211 UDP portu.
Načrt preiskave:
1. Za preverjanje, ali je Memcached 11211 UDP port odprt iz zunanjega interneta, lahko uporabite orodje nc za testiranje porta in preverite, ali Memcached proces teče na strežniku.
Testni port: nc -vuz IP naslov 11211
Preverite, ali je memcached storitev odprta za javnost: telnet IP naslov 11211, če je port 11211 odprt, je lahko prizadeta
Preveri status procesa: ps -aux | grep pemcached
2. Uporabi "echo -en "\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | ukaz nc -u IP naslov 11211", če povratna vsebina ni prazna, to pomeni, da je vaš strežnik morda prizadet.
Rešitev:
1. Če uporabljate storitev Memcached in odprete UDP port 11211, je priporočljivo, da uporabite varnostno skupinsko politiko ECS ali druge politike požarnega zidu za blokiranje priključka UDP 11211 v smeri javnega omrežja glede na poslovne razmere, da zagotovite, da strežnik Memcached in internet nista dostopna preko UDP.
2. Priporočljivo je, da dodate parameter "-U 0" za ponovni zagon memcached storitve in popolno onemogočanje UDP.
3. Memcached je uradno izdal novo različico, ki privzeto onemogočeva UDP 11211 priključek, zato priporočamo, da nadgradite na najnovejšo različico 1.5.6.Naslov za prenos: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Preverjanje integritete datotek SHA vrednost: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Priporočljivo je, da okrepite varnost delujoče storitve Memcached, kot je omogočanje vezave lokalnega poslušalnega IP-ja, prepoved zunanjega dostopa, onemogočanje protokola UDP ter omogočanje prijavne avtentikacije in drugih varnostnih funkcij za izboljšanje varnosti Memcached.
Kliknite za ogled podrobnega priročnika za utrjevanje storitev Memcached.
Metoda preverjanja:
Ko je popravek končan, lahko uporabite naslednje metode, da preverite, ali je strežniški popravek učinkovit:
1. Če ste blokirali zunanji TCP protokol 11211 priključek, lahko uporabite ukaz "telnet ip 11211" na zunanjem omrežnem računalniku, če povratna povezava ne uspe, to pomeni, da je zunanji TCP protokol 11211 zaprt;
2. Če ste onemogočeli UDP protokol za storitev Memcached na vašem strežniku, lahko izvedete naslednji "echo -en" \x00\x00\x00\x00\x00\x00\x01\x00\x00\x00stats\r\n" | nc -u IP naslov 11211" za preverjanje, ali je protokol memcached storitve UDP izklopljen, preverite vrnjeno vsebino, če je vrnjena vsebina prazna, to pomeni, da je vaš strežnik uspešno odpravil ranljivost, lahko uporabite tudi "netstat -an |" grep udp" da preveri, ali port UDP 11211 posluša, če ne, je protokol memcached UDP uspešno izklopljen. |
Objavljeno na 7. 03. 2018 16:43:08
|
|
|
