安全公告

阿里云首页> 安全公告 > 【风险预警】RPCBind服务UDP反射DDoS攻击预警

【风险预警】RPCBind服务UDP反射DDoS攻击预警

2018年9月15日，阿里云云盾应急响应中心监测到多起黑客利用云主机上的RPCBind服务进行UDP反射DDoS攻击导致用户流量暴增的案例。

漏洞描述

RPCBind是一种通用的RPC端口映射功能，默认绑定在端口111上。黑客通过批量扫描 111 UDP端口，利用UDP反射放大来进行DDoS攻击。

风险评级

高

影响范围

RPCBind (Portmapper, portmap 或 RPCPortMapper 等)

修复建议

1. 直接关闭RPCBind服务：如果业务中并没有使用RPCBind，可直接关闭。

Ubuntu：

(1) 打开终端，运行如下命令，关闭rpcbind服务：

sudo systemctl stop rpcbind && systemctl disable rpcbind

(2) 检查rpcbind服务是否关闭:

netstat -anp | grep rpcbind

CentOS 7：

(1) 打开终端，运行如下命令：

systemctl stop rpcbind && systemctl disable rpcbind

(2) 检查rpcbind服务是否关闭：

netstat -anp | grep rpcbind

CentOS 6：

(1) 打开终端，运行如下命令：

/etc/init.d/rpcbind stop

(2) 检查rpcbind服务是否关闭：

netstat -anp | grep rpcbind

2、通过安全组进行限制RPC服务端口，如下图

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云云盾应急响应中心
2018.09.15

【风险预警】RPCBind服务UDP反射DDoS攻击预警

2018年9月15日，阿里云云盾应急响应中心监测到多起黑客利用云主机上的RPCBind服务进行UDP反射DDoS攻击导致用户流量暴增的案例。

漏洞描述

RPCBind是一种通用的RPC端口映射功能，默认绑定在端口111上。黑客通过批量扫描 111 UDP端口，利用UDP反射放大来进行DDoS攻击。

风险评级

高

影响范围

RPCBind (Portmapper, portmap 或 RPCPortMapper 等)

修复建议

1. 直接关闭RPCBind服务：如果业务中并没有使用RPCBind，可直接关闭。

Ubuntu：

(1) 打开终端，运行如下命令，关闭rpcbind服务：

sudo systemctl stop rpcbind && systemctl disable rpcbind

(2) 检查rpcbind服务是否关闭:

netstat -anp | grep rpcbind

CentOS 7：

(1) 打开终端，运行如下命令：

systemctl stop rpcbind && systemctl disable rpcbind

(2) 检查rpcbind服务是否关闭：

netstat -anp | grep rpcbind

CentOS 6：

(1) 打开终端，运行如下命令：

/etc/init.d/rpcbind stop

(2) 检查rpcbind服务是否关闭：

netstat -anp | grep rpcbind

2、通过安全组进行限制RPC服务端口，如下图

我们会关注后续进展，请随时关注官方公告。

如有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云云盾应急响应中心 2018.09.15

阿里云云盾应急响应中心
2018.09.15