服務(wù)公告
RPCBind服務(wù)被利用進(jìn)行DDoS攻擊的風(fēng)險(xiǎn)預(yù)警
2018-09-15
一、概要
近期業(yè)界監(jiān)測(cè)發(fā)現(xiàn)多起云主機(jī)利用RPCBind服務(wù)進(jìn)行UDP反射DDoS攻擊的案例,攻擊占用大量帶寬可導(dǎo)致被攻擊目標(biāo)拒絕服務(wù)。 RPCBind(也稱Portmapper、portmap或RPCPortmapper)是linux平臺(tái)一種通用的RPC端口映射功能,默認(rèn)綁定在端口111上。黑客通過批量掃描 111 UDP端口,利用UDP反射放大來進(jìn)行DDoS攻擊。
二、風(fēng)險(xiǎn)級(jí)別
風(fēng)險(xiǎn)級(jí)別:【嚴(yán)重】
(說明:風(fēng)險(xiǎn)級(jí)別共四級(jí):一般、重要、嚴(yán)重、緊急。)
三、影響范圍
開啟了RPCBind (Portmapper, portmap 或 RPCPortMapper 等)服務(wù)的系統(tǒng)。
四、排查和處置
直接關(guān)閉RPCBind服務(wù): 如果業(yè)務(wù)中并沒有使用RPCBind服務(wù),建議直接關(guān)閉,rpcbind在以前以被證明存在潛在的安全風(fēng)險(xiǎn)。操作如下:
1、Ubuntu系統(tǒng):
1)打開終端,運(yùn)行如下命令,關(guān)閉rpcbind服務(wù):
sudo systemctl stop rpcbind.socket
2)檢查rpcbind服務(wù)是否關(guān)閉:
netstat -anp |grep rpcbind或service rpcbind status
2、CentOS系統(tǒng):
1)打開終端,運(yùn)行如下命令:
systemctl stop rpcbind.socket
2)檢查rpcbind服務(wù)是否關(guān)閉:
netstat -anp |grep rpcbind 或service rpcbind status
圖1:該結(jié)果顯示為rpcbind服務(wù)正開啟
圖2:該結(jié)果顯示為rpcbind服務(wù)已關(guān)閉