Цього тижня Центр хмарної безпеки Alibaba виявив шкідливі атаки на Інтернет із використанням вразливостей у сервісі Memcached. Якщо клієнт відкриває протокол UDP за замовчуванням і не використовує контроль доступу, хакери можуть використати сервіс Memcached під час його запуску, що призведе до споживання вихідної пропускної здатності або ресурсів процесора.
Alibaba Cloud Cloud Database Memcache Edition не використовує протокол UDP і за замовчуванням не піддається цій проблемі. Водночас Alibaba Cloud нагадує користувачам звертати увагу на власний бізнес і розпочинати екстрені розслідування.
Уражені райони:
Користувач створив сервіс Memcached на порті Memcached 11211 UDP.
План розслідування:
1. Щоб перевірити, чи відкритий порт Memcached 11211 UDP від зовнішнього Інтернету, ви можете скористатися інструментом nc, щоб протестувати порт і перевірити, чи працює процес Memcached на сервері.
Тестовий порт: nc -vuz IP-адреса 11211
Перевірте, чи відкритий memcached сервіс для публіки: telnet IP-адреса 11211, якщо порт 11211 відкритий, він може постраждати
Перевірте статус процесу: ps -aux | grep memcached
2. Використовуйте "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00stats\r\n" | команду nc -u IP address 11211", якщо вміст повернення не порожній, це означає, що ваш сервер може постраждати.
Рішення:
1. Якщо ви використовуєте сервіс Memcached і відкриваєте порт 11211 UDP, рекомендується застосувати політику ECS security group або інші політики міжмережевого екрану для блокування порту UDP 11211 у напрямку публічної мережі відповідно до бізнес-ситуації, щоб уникнути недоступу до сервера Memcached та Інтернету через UDP.
2. Рекомендується додати параметр "-U 0" для перезапуску сервісу memcached і повністю вимкнути UDP.
3. Memcached офіційно випустив нову версію, яка за замовчуванням вимикає порт UDP 11211, рекомендується оновитися до останньої версії 1.5.6.Адреса для завантаження: http://memcached-1-5-6-version.oss-cn-hangzhou.aliyuncs.com/memcached-1.5.6.tar.gz?spm=a2c4g.11174386.n2.4.z6Pbcq&file=memcached-1.5.6.tar.gz
(Перевірка цілісності файлу — значення SHA: CA35929E74B132C2495A6957CFDC80556337FB90);
4. Рекомендується посилити безпеку запущеного сервісу Memcached, наприклад, увімкнути прив'язку локальної IP-адреси, заборонити зовнішній доступ, вимкнути протокол UDP, а також увімкнути автентифікацію входу та інші функції безпеки для підвищення безпеки Memcached.
Натисніть, щоб переглянути детальний посібник з загартування сервісу Memcached.
Метод верифікації:
Після завершення виправлення ви можете скористатися наступними методами, щоб перевірити, чи ефективне серверне виправлення:
1. Якщо ви заблокували зовнішній порт протоколу TCP 11211, ви можете використати команду "telnet ip 11211" на зовнішньому офісному комп'ютері мережі; якщо поверне з'єднання не вийде, це означає, що порт зовнішнього TCP-протоколу 11211 закрито;
2. Якщо ви вимкнули протокол UDP для сервісу Memcached на вашому сервері, ви можете запустити наступний "echo -en "\x00\x00\x00\x00\x00\x00\x01\x00\x00stats\r\n" | nc -u IP-адреса 11211", щоб перевірити, чи вимкнено протокол memcached service UDP, перевірити повернений контент; якщо вміст порожній, це означає, що ваш сервер успішно усунув вразливість, ви також можете використати "netstat -an |" grep udp", щоб перевірити, чи слухає порт UDP 11211, якщо ні — протокол memcached UDP успішно вимкнено. |
Опубліковано 07.03.2018 16:43:08
|
|
|
