【风险预警】RPCBind服务UDP反射DDoS攻击预警
2018年9月15日,阿里云云盾应急响应中心监测到多起黑客利用云主机上的RPCBind服务进行UDP反射DDoS攻击导致用户流量暴增的案例。
漏洞描述
RPCBind是一种通用的RPC端口映射功能,默认绑定在端口111上。黑客通过批量扫描 111 UDP端口,利用UDP反射放大来进行DDoS攻击。
风险评级
高
影响范围
RPCBind (Portmapper, portmap 或 RPCPortMapper 等)
修复建议
1. 直接关闭RPCBind服务:如果业务中并没有使用RPCBind,可直接关闭。
Ubuntu:
(1) 打开终端,运行如下命令,关闭rpcbind服务:
sudo systemctl stop rpcbind && systemctl disable rpcbind
(2) 检查rpcbind服务是否关闭:
netstat -anp | grep rpcbind
CentOS 7:
(1) 打开终端,运行如下命令:
systemctl stop rpcbind && systemctl disable rpcbind
(2) 检查rpcbind服务是否关闭:
netstat -anp | grep rpcbind
CentOS 6:
(1) 打开终端,运行如下命令:
/etc/init.d/rpcbind stop
(2) 检查rpcbind服务是否关闭:
netstat -anp | grep rpcbind
2、通过安全组进行限制RPC服务端口,如下图
我们会关注后续进展,请随时关注官方公告。
如有任何问题,可随时通过工单或服务电话95187联系反馈。
阿里云云盾应急响应中心
2018.09.15