DDoS-атаки с использованием Portmapper вашего сервера: что делать?
Jul 18, 2016 15:03 · 261 words · 2 minute read
Получил письмо с темой Exploitable portmapper service used for an attack: <IP-address моего сервера>
. Есстественно, хостер недоволен таким положением вещей и требует устранить проблему. Давайте разберемся!
В самом письме проблема раскрыта шире, присутствуют логи и ссылка на более подробную информацию (с надписью we did not create this content
).
Оказывается проблема не нова, впервые с ней столкнулись в середине июня 2015 года, серьезные масштабы данный вид атак приобрел 10-12 августа 2015 года. Специалисты телекоммуникационного и интернет-провайдера Level 3 охарактеризовали этот новый тип DDoS-атаки как модификацию NTP DDoS двухлетней давности.
Новый вид DDoS использует Portmapper (RPC Portmapper), который работает на сетевых узлах, обеспечивающих сервисы Remote Procedure Call (например, NIS и NFS), и всегда работает по 111 порту TCP или UDP. Сама атака заключается в отправке UDP-пакета (с указанием ip-адреса жертвы как исходящего) на сервер, использующий Portmapper. В ответ Portmapper честно шлет список сетевых сервисов для переназначения портов, но уже на адрес жертвы.
Итак, кто виноват выяснили. Что делать? Вариант первый — отключить сервисы Portmapper и RPC. Если эти сервисы все же необходимы, вариант второй — перенастроить Portmapper и RPC на работу по протоколу TCP или третий — с помощью файрволла закрыть доступ к этим сервисам извне.
Мне больше всего пришелся по душе третий вариант, поэтому логинимся на «проблемный» сервер и правами суперпользователя выполняем следующие команды:
iptables -A INPUT -p udp -s 192.168.0.0/24 --dport 111 -j ACCEPT
iptables -A INPUT -p udp -s 127.0.0.1 --dport 111 -j ACCEPT
iptables -A INPUT -p udp --dport 111 -j DROP
Не лишним также будет изменить пароли пользователей и выполнить проверку системы на вирусы, например, с помощью ClamAV.