【风险预警】RPCBind服务被利用进行UDP反射DDoS攻击

尊敬的腾讯云客户，您好！

　　 近日，腾讯云安全中心监测发现多起黑客利用云主机上的RPCBind服务进行UDP反射DDoS攻击导致用户流量暴增的案例，腾讯云已启动相关安全响应流程进行跟踪应急。

       为避免您的业务受影响，腾讯云安全中心建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者恶意利用，导致不必要的经济损失。

【风险详情】

RPCBind（也称Portmapper、portmap或RPCPortmapper）是一种通用的RPC端口映射功能，默认绑定在端口111上，可以将RPC服务号映射到网络端口号。它的工作原理是当RPC服务启动时，它会告诉RPCBind它正在监听的地址，以及它准备服务的RPC服务号；当客户端希望对给定的服务号进行RPC调用时，客户端首先需要联系服务器上的RPCBind，以确定应该在哪里发送RPC请求的地址。利用RPCBind进行UDP反射DDoS攻击的事件相对较少，这也是腾讯云安全今年以来捕获的首例利用云主机上的RPCBind服务进行UDP反射DDoS攻击的行为。不过其实早在2015年Level 3 Threat Research Labs就发现了这样一种新的攻击DDoS放大攻击形式，该反射方式放大系数最高可达28.4，US-CERT也在当时将该种攻击方式加入了UDP 攻击类型列表，具体可见https://www.us-cert.gov/ncas/alerts/TA14-017A。

    部分用户在云主机上启动RPCBind服务，服务绑定在默认TCP或UDP端口111，同时开放在外网，黑客通过批量扫描开放的111 UCP端口的服务器，利用UDP反射放大DDoS攻击原理发送虚假UDP请求，伪造源IP地址，将请求包中的源IP地址替换成攻击目标，反射服务器收到请求包发送响应来完成整个攻击流程。由于发送的请求包远小于响应，所以最终达到了反射放大的效果。

1113.png

【风险等级】

高风险

【漏洞风险】

   存在该问题的用户，可能被远程恶意攻击者利用进行反射放大攻击，导致您的带宽被恶意利用，对第三方发起攻击，引起不必要的法律风险和经济损失。

【修复建议】

   服务被恶意利用的主要原因是RPCBind服务绑定在默认端口并开放在外网从而导致黑客可以访问并发送伪造的请求，腾讯云安全中心建议：

1、直接关闭RPCBind服务

如果业务中并没有使用RPCBind服务，建议直接关闭，操作如下：

   Ubuntu系统：

    1）打开终端，运行如下命令，关闭rpcbind服务：

sudo systemctl stop rpcbind.socket && sudo systemctl disable rpcbind.socket

    2）检查rpcbind服务是否关闭：

    netstat -anp |grep rpcbind

   CentOS系统：

   1）打开终端，运行如下命令：

systemctl stop rpcbind.socket && systemctl disable rpcbind.socket

   2）检查rpcbind服务是否关闭：

    netstat -anp |grep rpcbind

2、通过安全组进行限制RPC服务访问源IP或绑定内网IP

如果因业务需要必须使用RPCBind服务，建议通过安全组/防火墙等方式进行访问限制或者将其绑定在内网IP，不要开放在外网，操作如下：

     安全组配置如下：

    1、打开控制台安全组配置界面：https://console.cloud.tencent.com/cvm/securitygroup，添加入站请求规则：

1112.png

2、检查规则是否生效。

【漏洞参考】

  1）https://www.us-cert.gov/ncas/alerts/TA14-017A

  2）http://netsecurity.51cto.com/art/201508/489005.htm

  3）http://blog.nsfocus.net/portmapper-ddos-attack/