【漏洞预警】RPCBind服务可被利用进行UDP反射DDoS攻击

2018-09-17 16:55:28
尊敬的用户

您好,近日京东云安全团队检测到多起黑客利用云主机上的RPCBind服务进行UDP反射DDoS攻击导致用户流量暴增的案例

为保障您的业务安全,不受漏洞影响,京东云安全团队建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵

【漏洞详情】

RPCBind是一种通用的RPC端口映射功能,默认绑定在端口111上,可以将RPC服务号映射到网络端口号。恶意攻击者可以批量扫描111UDP端口,利用UDP反射放大来进行DDoS攻击。

【风险等级】

高危

【漏洞危害】

若存在该漏洞,用户主机可能被远程恶意攻击者利用进行反射放大攻击,导致您的带宽被恶意利用,对其他主机发起攻击,可能引起不必要的法律风险和经济损失。

【修复建议】

建议变更前提前做好数据备份和验证评估,避免变更引起业务不可用

1. 直接关闭RPCBind服务:如果业务中并没有使用RPCBind,可直接关闭。

Ubuntu:

(1) 打开终端,运行如下命令,关闭rpcbind服务:

sudo systemctl stop rpcbind && systemctl disable rpcbind

(2) 检查rpcbind服务是否关闭:

netstat -anp | grep rpcbind

CentOS 7:

(1) 打开终端,运行如下命令:

systemctl stop rpcbind && systemctl disable rpcbind

(2) 检查rpcbind服务是否关闭:

netstat -anp | grep rpcbind

CentOS 6:

(1) 打开终端,运行如下命令:

/etc/init.d/rpcbind stop

(2) 检查rpcbind服务是否关闭:

netstat -anp | grep rpcbind

【参考信息】

(1)https://www.us-cert.gov/ncas/alerts/TA14-017A

(2)http://netsecurity.51cto.com/art/201508/489005.htm

(3)http://blog.nsfocus.net/portmapper-ddos-attack


京东云团队

2018-09-17 16:55:28