RPCBind服务被利用进行DDoS攻击的风险预警

一、概要

近期业界监测发现多起云主机利用RPCBind服务进行UDP反射DDoS攻击的案例，攻击占用大量带宽可导致被攻击目标拒绝服务。 RPCBind（也称Portmapper、portmap或RPCPortmapper）是linux平台一种通用的RPC端口映射功能，默认绑定在端口111上。黑客通过批量扫描 111 UDP端口，利用UDP反射放大来进行DDoS攻击。

二、风险级别

风险级别：【严重】

（说明：风险级别共四级：一般、重要、严重、紧急。）

三、影响范围

开启了RPCBind (Portmapper, portmap 或 RPCPortMapper 等)服务的系统。

四、排查和处置

直接关闭RPCBind服务： 如果业务中并没有使用RPCBind服务，建议直接关闭，rpcbind在以前以被证明存在潜在的安全风险。操作如下：

1、Ubuntu系统：

    1）打开终端，运行如下命令，关闭rpcbind服务：

    sudo systemctl stop rpcbind.socket

    2）检查rpcbind服务是否关闭：

netstat -anp |grep rpcbind或service rpcbind status

2、CentOS系统：

   1）打开终端，运行如下命令：

    systemctl stop rpcbind.socket

   2）检查rpcbind服务是否关闭：

netstat -anp |grep rpcbind 或service rpcbind status

图1：该结果显示为rpcbind服务正开启

图2：该结果显示为rpcbind服务已关闭