尊敬的騰訊云客戶,您好!
近日,騰訊云安全中心監測發現多起黑客利用云主機上的RPCBind服務進行UDP反射DDoS攻擊導致用戶流量暴增的案例,騰訊云已啟動相關安全響應流程進行跟蹤應急��。
? ?? ? 為避免您的業務受影響,騰訊云安全中心建議您及時開展安全自查,如在受影響范圍,請您及時進行更新修復,避免被外部攻擊者惡意利用,導致不必要的經濟損失����。
【風險詳情】
RPCBind(也稱Portmapper���、portmap或RPCPortmapper)是一種通用的RPC端口映射功能,默認綁定在端口111上,可以將RPC服務號映射到網絡端口號��。它的工作原理是當RPC服務啟動時,它會告訴RPCBind它正在監聽的地址,以及它準備服務的RPC服務號;當客戶端希望對給定的服務號進行RPC調用時,客戶端首先需要聯系服務器上的RPCBind,以確定應該在哪里發送RPC請求的地址�����。利用RPCBind進行UDP反射DDoS攻擊的事件相對較少,這也是騰訊云安全今年以來捕獲的首例利用云主機上的RPCBind服務進行UDP反射DDoS攻擊的行為��。不過其實早在2015年Level 3 Threat Research Labs就發現了這樣一種新的攻擊DDoS放大攻擊形式,該反射方式放大系數最高可達28.4,US-CERT也在當時將該種攻擊方式加入了UDP 攻擊類型列表,具體可見https://www.us-cert.gov/ncas/alerts/TA14-017A���。
? ? 部分用戶在云主機上啟動RPCBind服務,服務綁定在默認TCP或UDP端口111,同時開放在外網,黑客通過批量掃描開放的111 UCP端口的服務器,利用UDP反射放大DDoS攻擊原理發送虛假UDP請求,偽造源IP地址,將請求包中的源IP地址替換成攻擊目標,反射服務器收到請求包發送響應來完成整個攻擊流程�。由于發送的請求包遠小于響應,所以最終達到了反射放大的效果����。
通過運行 netstat -antlp 命令,出現紅框部分內容說明存在漏洞【風險等級】
高風險
【漏洞風險】
? ?存在該問題的用戶,可能被遠程惡意攻擊者利用進行反射放大攻擊,導致您的帶寬被惡意利用,對第三方發起攻擊,引起不必要的法律風險和經濟損失���。
【修復建議】
? ?服務被惡意利用的主要原因是RPCBind服務綁定在默認端口并開放在外網從而導致黑客可以訪問并發送偽造的請求,騰訊云安全中心建議:
1�、直接關閉RPCBind服務
如果業務中并沒有使用RPCBind服務,建議直接關閉,操作如下:
? ?Ubuntu系統:
? ? 1)打開終端,運行如下命令,關閉rpcbind服務:
sudo systemctl stop rpcbind.socket && sudo systemctl disable rpcbind.socket
? ? 2)檢查rpcbind服務是否關閉:
? ? netstat -anp |grep rpcbind
? ?CentOS系統:
? ?1)打開終端,運行如下命令:
systemctl stop rpcbind.socket && systemctl disable rpcbind.socket
? ?2)檢查rpcbind服務是否關閉:
? ? netstat -anp |grep rpcbind
2�����、通過安全組進行限制RPC服務訪問源IP或綁定內網IP
如果因業務需要必須使用RPCBind服務,建議通過安全組/防火墻等方式進行訪問限制或者將其綁定在內網ip,不要開放在外網,操作如下:
? ???安全組配置如下:
? ? 1�����、打開控制臺安全組配置界面:https://console.cloud.tencent.com/cvm/securitygroup,添加入站請求規則:
安全組配置示例2����、檢查規則是否生效��。
【漏洞參考】
??1)https://www.us-cert.gov/ncas/alerts/TA14-017A
??2)http://netsecurity.51cto.com/art/201508/489005.htm
??3)http://blog.nsfocus.net/portmapper-ddos-attack/
