RPCBind服务被利用进行DDoS攻击的风险预警
一、概要
近期业界监测发现多起云主机利用RPCBind服务进行UDP反射DDoS攻击的案例,攻击占用大量带宽可导致被攻击目标拒绝服务。 RPCBind(也称Portmapper、portmap或RPCPortmapper)是linux平台一种通用的RPC端口映射功能,默认绑定在端口111上。黑客通过批量扫描 111 UDP端口,利用UDP反射放大来进行DDoS攻击。
二、风险级别
风险级别:【严重】
(说明:风险级别共四级:一般、重要、严重、紧急。)
三、影响范围
开启了RPCBind (Portmapper, portmap 或 RPCPortMapper 等)服务的系统。
四、排查和处置
直接关闭RPCBind服务: 如果业务中并没有使用RPCBind服务,建议直接关闭,rpcbind在以前以被证明存在潜在的安全风险。操作如下:
1、Ubuntu系统:
1)打开终端,运行如下命令,关闭rpcbind服务:
sudo systemctl stop rpcbind.socket
2)检查rpcbind服务是否关闭:
netstat -anp |grep rpcbind或service rpcbind status
2、CentOS系统:
1)打开终端,运行如下命令:
systemctl stop rpcbind.socket
2)检查rpcbind服务是否关闭:
netstat -anp |grep rpcbind 或service rpcbind status
图1:该结果显示为rpcbind服务正开启
图2:该结果显示为rpcbind服务已关闭
- 点赞
- 收藏
- 关注作者
评论(0)