通過memcache服務 11211埠 被入侵例項及解決

今天收到一網友的求助，下圖是開始的情況：

經瞭解是一個網站伺服器，平時沒有流量高峰和高負荷執行，下圖中監控卻又報出有幾天出現CPU和流量在短時間段驟高的情況，下圖：

先檢查程序，但沒發現有可疑的程序；
看一下日誌：

可以發現有幾個國外的IP在嘗試登陸。

然後檢查埠，發現了memcache服務開啟埠11211

前幾天阿里雲安全中心報道黑客利用Memcached服務漏洞進行的惡意攻擊。如果客戶預設開放UDP協議且未做訪問控制，在執行Memcached服務時可能會被黑客利用，導致出方向的頻寬消耗或CPU資源消耗。

接下來檢查11211埠能否對外：


nc -vuz 公網IP 11211

IP 都抹掉了，大家只看結果吧，很明顯11211對外是可以訪問的，現在可以確定根源了。

解決方案
在iptables 配置策略封禁公網入方向11211埠：

#只允許本機使用11211
iptables -A INPUT -p tcp -s 127.0.0.1 --dport 11211 -j ACCEPT
iptables -A INPUT -p udp -s 127.0.0.1 --dport 11211 -j ACCEPT

#禁止公網入方向11211埠
iptables -I INPUT -p tcp --dport 11211 -j DROP
iptables -I INPUT -p udp --dport 11211 -j DROP

#儲存配置，重啟iptables
service iptables save
service iptables restart
 

配置完畢，Telnet檢查一下埠

至此，網站負載已恢復正常，至於黑客有你沒有留下其他後門，這個很難查到，業內解決被入侵的方案是重做系統是最保險的，但這位朋友的公司沒有專業人員來做這件事，後續還得多注意觀察。