释放双眼,带上耳机,听听看~!
2018年9月15日,安全专题监测到多起黑客利用云主机上的RPCBind服务进行UDP反射DDoS攻击导致用户流量暴增的案例。
漏洞描述
RPCBind是一种通用的RPC端口映射功能,默认绑定在端口111上。黑客通过批量扫描 111 UDP端口,利用UDP反射放大来进行DDoS攻击。
风险评级
高
影响范围
RPCBind (Portmapper, portmap 或 RPCPortMapper 等)
修复建议
1. 直接关闭RPCBind服务:如果业务中并没有使用RPCBind,可直接关闭。
Ubuntu:
(1) 打开终端,运行如下命令,关闭rpcbind服务:
sudo systemctl stop rpcbind && systemctl disable rpcbind
(2) 检查rpcbind服务是否关闭:
netstat -anp | grep rpcbind
CentOS 7:
(1) 打开终端,运行如下命令:
systemctl stop rpcbind && systemctl disable rpcbind
(2) 检查rpcbind服务是否关闭:
netstat -anp | grep rpcbind
CentOS 6:
(1) 打开终端,运行如下命令:
/etc/init.d/rpcbind stop
(2) 检查rpcbind服务是否关闭:
netstat -anp | grep rpcbind
2、通过安全组进行限制RPC服务端口,如下图
