непонятная абуза от hetzner

Тема в разделе "Администрирование серверов", создана пользователем Xansen, 28 янв 2015.

Модераторы: mefish, stooper
  1. Xansen

    Xansen

    Регистр.:
    30 мар 2006
    Сообщения:
    443
    Симпатии:
    119
    Друзья, гуру, прошу совета, не понимаю что они от меня хотят. Вот текст абузы:

    Please note:
    This is an automatically generated message.
    Please do not reply to the sender.
    For queries, please contact: certbund@bsi.bund.de



    [CERT-Bund#2015012628000389]

    Dear Sir or Madam

    Memcached[1] is an open source cache server which is used to store and
    retrieve data from memory easily. Memcached is frequently used in
    connection with web applications. The memcached server does not support
    any authentication, so that attackers have unrestricted access to the data
    stored in the cache if the server is reachable from the Internet. This
    makes it possible for attackers to potentially spy out information from
    the systems which are affected, such as login data for web applications
    or other confidential content.

    Memcached servers have been identified by the Shadowserver 'Open Memcached
    Key-Value Store Scanning Project'[2] which are openly accessible from the
    Internet.

    We are sending you the following list of affected systems in your net area.
    The timestamp (UTC time zone) shows when the system was checked and when
    an open memcached server was identified.

    We kindly request that you examine the situation and take measures to
    safeguard the memcached servers on the systems concerned or inform your
    customer accordingly.

    References:

    [1] Memcached
    <http://memcached.org/>
    [2] Shadowserver: Open Memcached Key-Value Store Scanning Project
    <https://memcachedscan.shadowserver.org/>

    24940 | [здесь мой IP адрес] | 2015-01-26 02:04:55 | 11211 | 1.4.13

    Kind regards
    Team CERT-Bund

    Bundesamt für Sicherheit in der Informationstechnik (BSI)
    Referat C21 - CERT-Bund
    Godesberger Allee 185-189
    D-53175 Bonn




    Подскажите, что это значит и что мне нужно сделать. Спасибо!
     
  2. mrLom

    mrLom ♒︎

    Moderator
    Регистр.:
    24 дек 2014
    Сообщения:
    836
    Симпатии:
    1.473
    А чего непонятного, твой Memcached открыт извне для злоумышленников, можно извлекать из кэша любые данные без каких либо ограничений, к примеру, если кэшируются, пароли от баз данных.
    Тебе предложили устранить недостатки, закрыть на использование во внешнюю сеть данные сервисы или использовать авторизацию.
    После устранения, сообщить об этом в техническую поддержку от имени клиента.
    Как-то так
     
    Xansen нравится это.
  3. Xansen

    Xansen

    Регистр.:
    30 мар 2006
    Сообщения:
    443
    Симпатии:
    119
    Спасибо огромное, а не подскажете где почитать подробнее как его закрыть?
     
  4. mrLom

    mrLom ♒︎

    Moderator
    Регистр.:
    24 дек 2014
    Сообщения:
    836
    Симпатии:
    1.473
    Технически, нужно поправить конфиги Memcached на прослушивание порта, к примеру 11211
    С прослушиванием хоста localhost. ← Видимо проблематика именно тут, у вас используется внешний IP адрес.
    Далее стандартно правилом iptables закрываем прослушивание извне порта 11211 ← и тут, писали ли вы iptables?
    Далее в конфигах под вашу CMS нужно настроить, где у вас кэширование. Нужно учитывать, что у вас может быть несколько сайтов, что бы не смешивались все кэши, нужно к кэшам подмешивать сиды.
    Гуглем для вашей линуксовой операционки и CMS ищется на раз.
    После всех манипуляций сообщаете в тех.поддержку, что ваша пробема разрешена.
     
    Vendetta и Xansen нравится это.
  5. metsys

    metsys

    Регистр.:
    27 апр 2014
    Сообщения:
    423
    Симпатии:
    408
    Код:
    iptables -A INPUT -i eth0 -p tcp -m tcp --dport 11211 -j REJECT --reject-with tcp-reset
    eth0 - меняете на свой сетевой интерфейс который смотрит в мир
    11211 - меняете на свой порт если меняли (дефолтный 11211 - скорее всего вы не меняли его. если робот-сканер прова нашел автоматом)
     
    Xansen нравится это.
  6. Xansen

    Xansen

    Регистр.:
    30 мар 2006
    Сообщения:
    443
    Симпатии:
    119
    спасибо, сделал, а как теперь проверить что всё работает правильно и мемкэш закрыт извне?
     
  7. mrLom

    mrLom ♒︎

    Moderator
    Регистр.:
    24 дек 2014
    Сообщения:
    836
    Симпатии:
    1.473
    В каком либо внешнем линуксе выполните команду: nc [IP адрес] 11211
    Если из виндовса будете проверять, попробуйте телнетом подключится к порту 11211. Таймаут может быть долгим, а ответ неясным, по этому на вашем "больном" сервере: netstat | grep 11211
    Смотрите внешние подключения

    А вообще, вот тут инструкции: https://memcachedscan.shadowserver.org/
    Можете после проверки написать им письмо – please contact us at dnsscan[at]shadowserver[dot]org, что бы они перепроверили, а после проверки, они сами удалят вас из списка открытых Memcached

    UPD: Да, еще забыл сказать, что есть всякие сервисы на проверку открытых портов в вашем сервере, возможно вы приятно удивитесь, что у вас открыто вообще все.
     
    Последнее редактирование: 30 янв 2015
    Xansen нравится это.