金御网安

RPCBind服务被利用进行DDoS攻击的风险预警

发布时间:4年前热度: 2507 ℃评论数:

一、概要


近期业界监测发现多起利用RPCBind服务进行UDP反射DDoS攻击的案例,攻击占用大量带宽可导致被攻击目标拒绝服务。 RPCBind(也称Portmapper、portmap或RPCPortmapper)是linux平台一种通用的RPC端口映射功能,默认绑定在端口111上。黑客通过批量扫描 111 UDP端口,利用UDP反射放大来进行DDoS攻击。


二、风险级别


风险级别:【严重】


(说明:风险级别共四级:一般、重要、严重、紧急。)


三、影响范围


开启了RPCBind (Portmapper, portmap 或 RPCPortMapper 等)服务的系统。


四、排查和处置


直接关闭RPCBind服务: 如果业务中并没有使用RPCBind服务,建议直接关闭,rpcbind在以前以被证明存在潜在的安全风险。操作如下:


1、Ubuntu系统:


    1)打开终端,运行如下命令,关闭rpcbind服务:


    sudo systemctl stop rpcbind.socket


    2)检查rpcbind服务是否关闭:


netstat -anp |grep rpcbind或service rpcbind status


2、CentOS系统:


   1)打开终端,运行如下命令:


    systemctl stop rpcbind.socket


   2)检查rpcbind服务是否关闭:


netstat -anp |grep rpcbind 或service rpcbind status

1.png

2.png

3.png

5.png

RPCBind

手机扫码访问