阿裏雲安全中(zhōng)心監測到互聯網上存在利用Memcached服務漏洞進行的惡意攻擊。如果客戶默認開(kāi)放(fàng)UDP協議且未做訪問控制,在運行Memcached服務時可能會被黑客利用,導緻出方向的帶寬消耗或CPU資(zī)源消耗。
受影響範圍:
用戶自建,并對外(wài)開(kāi)放(fàng)了Memcached 11211 UDP端口的Memcached服務。
排查方案:
1.從外(wài)部互聯網測試是否對外(wài)開(kāi)放(fàng)了Memcached 11211 UDP端口,您可以使用nc工(gōng)具測試端口,并查看服務器上是否運行memcached進程,具體(tǐ)測試方式:
測試是否對外(wài)開(kāi)放(fàng)memcached服務:telnet IP地址 11211,如果開(kāi)放(fàng)了11211端口,則可能受影響
測試UDP端口:nc -vuz IP地址 11211
檢查進程狀态:ps -aux | grep memcached
2.使用“echo -en "x00x00x00x00x00x01x00x00statsrn" | nc -u IP地址 11211”命令查看返回内容,若返回内容非空,則表明您的服務器可能受影響。
解決方案:
1.Memcached官方已經發布新版本默認禁用UDP 11211端口,建議您升級到最新1.5.6版本(文件完整性校驗sha值:ca35929e74b132c2495a6957cfdc80556337fb90);
2.如果您使用了Memcached服務,并對外(wài)開(kāi)放(fàng)了11211 UDP端口,建議您根據業務自身情況,使用ECS安全組策略或其他防火(huǒ)牆策略封禁公網入方向UDP 11211端口,确保Memcached服務器與互聯網之間無法通過UDP來訪問;
3. 建議您添加“-U 0”參數重啓memcached服務完全禁用UDP;
4.建議您對在運行的Memcached服務進行安全加固,例如:啓動綁定本地監聽(tīng)IP,禁止對外(wài)訪問、禁用UDP協議、啓用登錄認證等安全功能,提高Memcached安全性;
點擊可以查看詳細Memcached服務加固手冊。
驗證方法:
修複完畢後,您可以使用以下(xià)方法來測試服務器修複措施是否生(shēng)效:
1.如果您屏蔽了對外(wài)TCP協議11211端口,您可以在外(wài)網辦公電(diàn)腦上使用命令“telnet ip 11211",如果返回連接失敗,則表示已經關閉對外(wài)TCP協議11211端口;
2.如果您在服務器上禁用了Memcached服務的UDP協議,您可以運行以下(xià)“echo -en "x00x00x00x00x00x01x00x00statsrn" | nc -u IP地址 11211”命令檢測是否關閉memcached 服務UDP協議,查看返回内容,若返回内容爲空,則表明您的服務器已經成功修複漏洞,也可以使用“ netstat -an | grep udp”查看UDP 11211端口是否處于監聽(tīng)狀态,如果沒有監聽(tīng),則表示已經成功關停memcached UDP協議。
