欢迎您来到腾讯云!积分商城

腾讯云腾讯云论坛

 找回密码
 立即注册
忘了密码?

扫一扫,访问微社区

快捷导航
搜索
查看: 4788|回复: 3

[安全通知] 【风险预警】RPCBind服务被利用进行UDP反射DDoS风险预警

[复制链接]

219

主题

0

好友

1万

积分

腾讯云论坛管理组

Rank: 20Rank: 20

云币
33930
威望
13983
发表于 2018-9-14 16:11:01 |显示全部楼层
尊敬的腾讯云客户,您好!
   近日,腾讯云安全中心监测发现多起黑客利用云主机上的RPCBind服务进行UDP反射DDoS攻击导致用户流量暴增的案例,目前腾讯云已启动相关安全响应流程进行跟踪应急。
       为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者恶意利用,导致不必要的经济损失。

【风险详情】
   RPCBind(也称Portmapper、portmap或RPCPortmapper)是一种通用的RPC端口映射功能,默认绑定在端口111上,可以将RPC服务号映射到网络端口号。它的工作原理是当RPC服务启动时,它会告诉RPCBind它正在监听的地址,以及它准备服务的RPC服务号;当客户端希望对给定的服务号进行RPC调用时,客户端首先需要联系服务器上的RPCBind,以确定应该在哪里发送RPC请求的地址。利用RPCBind进行UDP反射DDoS攻击的事件相对较少,这也是腾讯云安全今年以来捕获的首例利用云主机上的RPCBind服务进行UDP反射DDoS攻击的行为。不过其实早在2015年Level 3 Threat Research Labs就发现了这样一种新的攻击DDoS放大攻击形式,该反射方式放大系数最高可达28.4,US-CERT也在当时将该种攻击方式加入了UDP 攻击类型列表,具体可见https://www.us-cert.gov/ncas/alerts/TA14-017A
    部分用户在云主机上启动RPCBind服务,服务绑定在默认TCP或UDP端口111,同时开放在外网,黑客通过批量扫描开放的111 UCP端口的服务器,利用UDP反射放大DDoS攻击原理发送虚假UDP请求,伪造源IP地址,将请求包中的源IP地址替换成攻击目标,反射服务器收到请求包发送响应来完成整个攻击流程。由于发送的请求包远小于响应,所以最终达到了反射放大的效果。
    1113.png


【风险等级】
   高风险

【漏洞风险】
   存在该问题的用户,可能被远程恶意攻击者利用进行反射放大攻击,导致您的带宽被恶意利用,对第三方发起攻击,引起不必要的法律风险和经济损失。

【修复建议】
   服务被恶意利用的主要原因是RPCBind服务绑定在默认端口并开放在外网从而导致黑客可以访问并发送伪造的请求,腾讯云安全中心建议:
   1、【直接关闭RPCBind服务】: 如果业务中并没有使用RPCBind服务,建议直接关闭,操作如下:
   Ubuntu系统:
    1)打开终端,运行如下命令,关闭rpcbind服务:
    sudo systemctl stop rpcbind.socket && sudo systemctl disable rpcbind.socket
    2)检查rpcbind服务是否关闭:
    netstat -anp |grep rpcbind

   CentOS系统:
   1)打开终端,运行如下命令:
   systemctl stop rpcbind.socket && systemctl disable rpcbind.socket
   2)检查rpcbind服务是否关闭:
    netstat -anp |grep rpcbind

   2、【通过安全组进行限制RPC服务访问源IP或绑定内网IP】:如果因业务需要必须使用RPCBind服务,建议通过安全组/防火墙等方式进行访问限制或者将其绑定在内网IP,不要开放在外网,操作如下:
     安全组配置如下:
    1、打开控制台安全组配置界面:https://console.cloud.tencent.com/cvm/securitygroup,添加入站请求规则:
       1112.png
   
    2、检查规则是否生效。

【漏洞参考】
  1)https://www.us-cert.gov/ncas/alerts/TA14-017A
  2)http://netsecurity.51cto.com/art/201508/489005.htm

2018/9/14

0

主题

0

好友

20

积分

小白[LV1]

Rank: 1

云币
70
威望
20
发表于 2018-9-14 22:42:23 |显示全部楼层
关闭RPCBind的姿势不太正确吧, 只是停止,服务器一旦重启,rpcbind服务又自动启动了。完整做法应该是:
  1. systemctl stop rpcbind.socket && systemctl disable rpcbind.socket
复制代码
回复

使用道具 举报

0

主题

0

好友

20

积分

小白[LV1]

Rank: 1

云币
70
威望
20
发表于 2018-9-14 23:03:28 |显示全部楼层
从昨天晚上12点开始,流量一直跑满,内网流量3M/S,

用的Debian系统,从来没有安装过什么乱七八糟的服务。 关闭应该是这样的:
  1. /etc/init.d/rpcbind stop
  2. update-rc.d -f rpcbind remove
复制代码
回复

使用道具 举报

0

主题

0

好友

20

积分

小白[LV1]

Rank: 1

云币
70
威望
20
发表于 2018-9-30 09:54:13 |显示全部楼层
这会影响 网站访问吗,怎么关闭了 服务器上的图片都访问不了,怎么办呢
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册
您需要登录后才可以发帖 QQ登录

联系我们|腾讯云平台|积分商城|腾讯云官方论坛    

GMT+8, 2018-11-18 08:33 , Processed in 1.194802 second(s), 32 queries .

Powered by Discuz! X2.5

© 2001-2012 Comsenz Inc.

回顶部