记一次阿里云被黑客使用RPCBind服务进行UDP反射DDoS攻击

dhso
2019/02/13 10:28
统计中

最近总是收到阿里云的预警邮件:

您的云服务器(xxx.xxx.xxx.xxx)由于被检测到对外攻击,已阻断该服务器对其它服务器端口(UDP:ALL)的访问...

发现

然后在收到预警时候立马登录上去看,发现rpcbind -w这个进程cpu使用率比较高,就查了下关于rpcbind服务的漏洞问题,发现如下:

【风险详情】
   RPCBind(也称Portmapper、portmap或RPCPortmapper)是一种通用的RPC端口映射功能,默认绑定在端口111上,可以将RPC服务号映射到网络端口号。它的工作原理是当RPC服务启动时,它会告诉RPCBind它正在监听的地址,以及它准备服务的RPC服务号;当客户端希望对给定的服务号进行RPC调用时,客户端首先需要联系服务器上的RPCBind,以确定应该在哪里发送RPC请求的地址。利用RPCBind进行UDP反射DDoS攻击的事件相对较少,这也是腾讯云安全今年以来捕获的首例利用云主机上的RPCBind服务进行UDP反射DDoS攻击的行为。不过其实早在2015年Level 3 Threat Research Labs就发现了这样一种新的攻击DDoS放大攻击形式,该反射方式放大系数最高可达28.4,US-CERT也在当时将该种攻击方式加入了UDP 攻击类型列表,具体可见https://www.us-cert.gov/ncas/alerts/TA14-017A 。
    部分用户在云主机上启动RPCBind服务,服务绑定在默认TCP或UDP端口111,同时开放在外网,黑客通过批量扫描开放的111 UCP端口的服务器,利用UDP反射放大DDoS攻击原理发送虚假UDP请求,伪造源IP地址,将请求包中的源IP地址替换成攻击目标,反射服务器收到请求包发送响应来完成整个攻击流程。由于发送的请求包远小于响应,所以最终达到了反射放大的效果。

【修复建议】
   服务被恶意利用的主要原因是RPCBind服务绑定在默认端口并开放在外网从而导致黑客可以访问并发送伪造的请求。
   1.如果业务中并没有使用RPCBind服务,建议直接关闭
   2.如果因业务需要必须使用RPCBind服务,建议通过安全组/防火墙等方式进行访问限制或者将其绑定在内网IP,不要开放在外网

解决

因为我没有启用防火墙,也没有启用安全组策略。所以立马先开启iptables服务,教程参考http://blog.minws.com/centos7xia-guan-bi-mo-ren-fang-huo-qiang-bing-qi-yong-iptablesfang-huo-qiang/

然后将RPCBind服务关闭,教程参考 http://blog.minws.com/guan-bi-rpcbindfu-wu/

本文为 dhso 原创

发布在 http://blog.minws.com/ji-yi-ci-a-li-yun-bei-hei-ke-shi-yong-rpcbindfu-wu-jin-xing-udpfan-she-ddosgong-ji/

如有转载,请标明来源!

作者信息
姓名:dhso
热评文章
最新评论
文章概览