memcache 취약점

이번에 사이트가 간혈적으로 끊어지는 문제가 나타나서

호스팅 업체에 문의를 했는데

 

답변이

 

안녕하세요 고도호스팅입니다.

현재 사용중인 트래픽 제한이 걸려서 발생되었으며, 해당 내역은 아래와 같이 
Memcache 서버의 취약점을 악용한 DDoS 시도가 탐지 되어 발생하였을수도 있습니다.

또한 서버상의 아래와 같이 사용률을 보이고 있습니다.
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 
3883 memcache 20 0 391m 66m 604 S 400.4 0.8 3356:19 memcached -d -p 11211 -u memcached -m 64 -c 1024 -P /var/run/memcached/memcached.pid 

[정보]
출발지 정보
IP 222.186.151.179 포트44222 CHN
도착지 정보
IP 117.5.x.x 포트11211 KOR 
(위에는 저희 아이피)
현재 고객님께서는 memcache를 사용중에 계시며,
Memcache 서버의 취약점을 악용한 DDoS 시도가 탐지가 되었던점 안내드립니다.

해당 내역 관려하여 확인하여 보시기 바라며,
 

 

 

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

이렇게 답변이 왔습니다.

 

memcache 취약점으로 깃허브도 디도스를 맞았더라구요.

보안패치를 어떻게 해야할지..지금도 계속해서 공격하는거 같습니다.

 

저기서 알려준 중국 ip 는 차단했는데 지금 계속해서 느려져서ㅠㅠ

타운에서는 이런 이슈가 안나왔던거 같은데 혹시 대처방안이 있을까요?

  • ?

    1.PNG

    https://access.redhat.com/solutions/3369081

    이거로 일단 적용했는데 되는지 모르겠네요 ㅠㅠ

  • ?
    여기서 질문해서 죄송하긴 하지만..혹시 김짤.com 무슨 레이아웃 쓰는지 여쭤봐도 되나요?
    자체제작인것 같기는 한데..
  • ? ?
    모바일이요~?
  • ? ?
    pc버전이요
  • ? ?
    xdom 입니다!
  • ? ?
    xdom으로 저게 가능한가요? ㄷㄷ..
  • ? ?
    별로 수정한게 없어요!
  • ?
    - Memcached를 로컬 인터페이스에서만 사용 가능하도록 바인드 합니다.
    - memcached 서버 혹은 memcached가 있는 네트워크 상단에 방화벽을 설치하고 업무관련 IP만 memcached 서버에 접속하도록 허용합니다.
    - memcached 서버의 리스닝 포트를 기본 포트인 11211이 아닌 다른 포트로 바꿔 악의적으로 이용되지 않도록 합니다.
    - memcache를 최신 버전으로 업데이트 하고, SASL 을 사용하여 비밀번호 설정 및 권한을 제어합니다.
  • ? ?
    최신버젼으로 하는방법이 못찾고닛네요ㅠㅠ
    우분투는 잇는데
  • ? profile
    센토스라면 yum update memcached 하면 됩니다. memcached는 워낙 안정적인 프로그램이라, 새 버전이 자주 나오지는 않습니다. 취약점이라고 해도 memcached 자체에 보안취약점이 있다기보다는 11211 포트가 외부에 노출되는 등 설정상의 취약점일 가능성이 높고요.

    만약 위의 명령을 내렸을 때 업데이트가 없다고 하면 이미 해당 O/S에서 지원하는 최신 버전을 쓰고 계신 거예요.
  • profile

    우분투는 로컬에서만 memcached에 접속할 수 있도록 하는 것이 기본값인데, 센토스는 다 허용하는 것이 기본값이더군요. 항상 -l 127.0.0.1 설정을 추가해 줘야 합니다 ㅜㅜ

    이렇게 의도하지 않은 포트가 열려 있는 것을 막기 위해서라도 방화벽을 쓰시는 것이 좋습니다. 또 무슨 포트가 열려 있을지 모르니... ssh, ftp, http, https 외에는 죄다 막아야죠. 그 밖에 외부 접속이 필요한 서비스가 있더라도 정말로 접속해야 하는 특정 아이피 외에는 다 막고요.

  • profile ?
    역시 답변 감사합니다.
  • profile
    멤캐쉬드 udp패킷 차단설정 해주셔야됩니다, 출처: https://www.boannews.com/media/view.asp?idx=67356