阿里云安全中心監(jiān)測(cè)到互聯(lián)網(wǎng)上存在利用Memcached服務(wù)漏洞進(jìn)行的惡意攻擊。如果客戶默認(rèn)開放UDP協(xié)議且未做訪問(wèn)控制,在運(yùn)行Memcached服務(wù)時(shí)可能會(huì)被黑客利用,導(dǎo)致出方向的帶寬消耗或CPU資源消耗。
受影響范圍:
用戶自建,并對(duì)外開放了Memcached 11211 UDP端口的Memcached服務(wù)。
排查方案:
1.從外部互聯(lián)網(wǎng)測(cè)試是否對(duì)外開放了Memcached 11211 UDP端口,您可以使用nc工具測(cè)試端口,并查看服務(wù)器上是否運(yùn)行memcached進(jìn)程,具體測(cè)試方式:
測(cè)試是否對(duì)外開放memcached服務(wù):telnet IP地址 11211,如果開放了11211端口,則可能受影響
測(cè)試UDP端口:nc -vuz IP地址 11211
檢查進(jìn)程狀態(tài):ps -aux | grep memcached
2.使用“echo -en "x00x00x00x00x00x01x00x00statsrn" | nc -u IP地址 11211”命令查看返回內(nèi)容,若返回內(nèi)容非空,則表明您的服務(wù)器可能受影響。
解決方案:
1.Memcached官方已經(jīng)發(fā)布新版本默認(rèn)禁用UDP 11211端口,建議您升級(jí)到最新1.5.6版本(文件完整性校驗(yàn)sha值:ca35929e74b132c2495a6957cfdc80556337fb90);
2.如果您使用了Memcached服務(wù),并對(duì)外開放了11211 UDP端口,建議您根據(jù)業(yè)務(wù)自身情況,使用ECS安全組策略或其他防火墻策略封禁公網(wǎng)入方向UDP 11211端口,確保Memcached服務(wù)器與互聯(lián)網(wǎng)之間無(wú)法通過(guò)UDP來(lái)訪問(wèn);
3. 建議您添加“-U 0”參數(shù)重啟memcached服務(wù)完全禁用UDP;
4.建議您對(duì)在運(yùn)行的Memcached服務(wù)進(jìn)行安全加固,例如:?jiǎn)?dòng)綁定本地監(jiān)聽I(yíng)P,禁止對(duì)外訪問(wèn)、禁用UDP協(xié)議、啟用登錄認(rèn)證等安全功能,提高M(jìn)emcached安全性;
點(diǎn)擊可以查看詳細(xì)Memcached服務(wù)加固手冊(cè)。
驗(yàn)證方法:
修復(fù)完畢后,您可以使用以下方法來(lái)測(cè)試服務(wù)器修復(fù)措施是否生效:
1.如果您屏蔽了對(duì)外TCP協(xié)議11211端口,您可以在外網(wǎng)辦公電腦上使用命令“telnet ip 11211",如果返回連接失敗,則表示已經(jīng)關(guān)閉對(duì)外TCP協(xié)議11211端口;
2.如果您在服務(wù)器上禁用了Memcached服務(wù)的UDP協(xié)議,您可以運(yùn)行以下“echo -en "x00x00x00x00x00x01x00x00statsrn" | nc -u IP地址 11211”命令檢測(cè)是否關(guān)閉memcached 服務(wù)UDP協(xié)議,查看返回內(nèi)容,若返回內(nèi)容為空,則表明您的服務(wù)器已經(jīng)成功修復(fù)漏洞,也可以使用“ netstat -an | grep udp”查看UDP 11211端口是否處于監(jiān)聽狀態(tài),如果沒有監(jiān)聽,則表示已經(jīng)成功關(guān)停memcached UDP協(xié)議。