RPCBind服务被利用进行DDoS攻击的风险预警

2018-09-21 17:09:27 大数据通信

一、概要

近期业界监测发现多起云主机利用RPCBind服务进行UDP反射DDoS攻击的案例,攻击占用大量带宽可导致被攻击目标拒绝服务。 RPCBind(也称PortmapperportmapRPCPortmapper)是linux平台一种通用的RPC端口映射功能,默认绑定在端口111上。黑客通过批量扫描 111 UDP端口,利用UDP反射放大来进行DDoS攻击。

二、风险级别

风险级别:【严重】

(说明:风险级别共四级:一般、重要、严重、紧急。)

三、影响范围

开启了RPCBind (Portmapper, portmap  RPCPortMapper )服务的系统。

四、排查和处置

直接关闭RPCBind服务: 如果业务中并没有使用RPCBind服务,建议直接关闭,rpcbind在以前以被证明存在潜在的安全风险。操作如下:

1、Ubuntu系统:

      1)打开终端,运行如下命令,关闭rpcbind服务:

      sudo systemctl stop rpcbind.socket

      2)检查rpcbind服务是否关闭:

      netstat -anp |grep rpcbind或service rpcbind status

2、CentOS系统:

       1)打开终端,运行如下命令:

       systemctl stop rpcbind.socket

       2)检查rpcbind服务是否关闭:

       netstat -anp |grep rpcbind 或service rpcbind status

服务器租用|服务器托管|BGP多线机房|机柜大带宽

服务器租用|服务器托管|BGP多线机房|机柜大带宽

图1:该结果显示为rpcbind服务正开启

服务器租用|服务器托管|BGP多线机房|机柜大带宽

服务器租用|服务器托管|BGP多线机房|机柜大带宽

图2:该结果显示为rpcbind服务已关闭