请输入搜索关键字!

Memcached UDP反射攻击漏洞解决办法

模板堂(ecmoban.com) | 2018-03-06 13:43 | 2143

首先申明:
以下解决方法主要针对Centos6,7,建议升级Memcached即可解决此问题,当然使用安全组拦截也可以,没有安全组的客户可以使用iptables,firewalld命令。

1、升级Memcached(强烈建议升级)
Memcached官方已经发布新版本默认禁用UDP 11211端口,修复了此漏洞问题,建议您升级到最新1.5.6版本,
•    Centos6

yum install libevent2 -y  
 
yum install perl -y  
 
rpm -ivh http://rpmfind.net/linux/remi/enterprise/6/remi/x86_64/memcached-1.5.6-1.el6.remi.x86_64.rpm --force  

 rpm -ivh http://rpmfind.net/linux/remi/enterprise/6/remi/x86_64/memcached-devel-1.5.6-1.el6.remi.x86_64.rpm --force  

 service memcached restart  

 chkconfig memcached on

•    Centos7

yum install libevent -y  
 
yum install perl -y  
 
rpm -ivh http://rpmfind.net/linux/remi/enterprise/7/remi/x86_64/memcached-1.5.6-1.el7.remi.x86_64.rpm --force   

 rpm -ivh http://rpmfind.net/linux/remi/enterprise/7/remi/x86_64/memcached-devel-1.5.6-1.el7.remi.x86_64.rpm --force  

 systemctl restart memcached   

 systemctl enabled memcached


2、 阿里云安全组屏蔽外网访问11211端口(做了安全组的话iptables可以不需要操作)
首先进入安全组配置见面,选择好区域然后创建安全组
1.jpg


取个好记的名称,注意网络类型,创建即可

2.jpg

点击快速创建规则 ,注意规则方向选择入方向,授权策略选择拒绝,端口11211/11211,授权对象0.0.0.0/0,点击创建

3.jpg


以上只是创建屏蔽TCP:11211端口,需要再点击快速创建规则,和上个步骤一样,注意自定义端口选择UDP,点击创建

4.jpg


创建好安全组实例后,点击管理实例后添加实例,添加你要加入的云服务器实例

5.jpg


3、防火墙屏蔽外网访问11211端口(针对没有安全组的客户)
•    Centos6

iptables -A INPUT -s 127.0.0.1 -p tcp --dport 11211 -j ACCEPT  

 iptables -A INPUT -s 127.0.0.1 -p udp --dport 11211 -j ACCEPT  

 iptables -A INPUT -p TCP --dport 11211 -j REJECT  
 
 iptables -A INPUT -p udp --dport 11211 -j REJECT

             Centos7

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="127.0.0.1" port protocol="tcp" port="11211" accept"  
 
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="127.0.0.1" port protocol="udp" port="11211" accept"


大商创官方交流群:562382947

一键加群

上海市普陀区中山北路3553号伸大厦3层

上海工商 可信网站 诚信网站 实名验证网站 实名网站 财付通

沪公网安备 31010702001054号