V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cxh116
V2EX  ›  CentOS

被 Centos 会及时修复安全问题给打脸了.

  •  
  •   cxh116 · 2019-06-21 11:50:29 +08:00 · 3626 次点击
    这是一个创建于 1966 天前的主题,其中的信息可能已经有所发展或是发生改变。

    新开一个 VPS 没两天被关停了. 发 Ticket 一问, 1TB 流量被用光了.

    然后找客服临时再开机查原因,用 goaccess 查 nginx 日志,只用了 5G 流量. 机器只开了 nginx, mysql ,memcached .想想前段时间 memcached 有个 udp 攻击.但想想自己系统已经升级到最新 CentOS Linux release 7.6.1810 (Core) ,不应该还存在这个漏洞吧.

    结果被打脸了,看了一下 centos 的版本还是 memcached, 最近更新时间是"26-Nov-2016 00:03" . 配置默认也开启 udp 端口的公网监听.

    所以只能怪自己了,开了机器改了 root 密码,ssh 端口,却忘记开 iptables 了.

    https://mirrors.163.com/centos/7/os/x86_64/Packages/memcached-1.4.15-10.el7_3.1.x86_64.rpm https://centos.pkgs.org/7/centos-x86_64/memcached-1.4.15-10.el7_3.1.x86_64.rpm.html

    8 条回复    2019-06-23 20:53:16 +08:00
    chinesestudio
        1
    chinesestudio  
       2019-06-21 15:05:41 +08:00 via Android
    不配防火墙 分分钟肉鸡
    mzdblsw8
        2
    mzdblsw8  
       2019-06-22 00:54:43 +08:00
    关 centos 什么事。自己拿机器不配置好。
    cxh116
        3
    cxh116  
    OP
       2019-06-22 07:53:25 +08:00
    @chinesestudio
    @mzdblsw8

    漏洞是在 2018 年 2 月爆出.
    https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211/
    http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-1000115

    memcached 官方是在 2018-2-27 发布 1.5.6 版本修复了这个问题.
    https://github.com/memcached/memcached/wiki/ReleaseNotes156


    然后到 2019 年 6 月 21 号,时隔一年半, centos 的最新版本 release 7.6.1810, memcached 还是有漏洞的版本.

    你如果认为这样还不关 centos 的事,那服务器中毒或被入侵只能怪自己为什么要连上可怕的互联网还开放了 nginx mysql memcached 这种设计本来可对外提供服务的软件的端口.
    h175h32
        4
    h175h32  
       2019-06-22 21:29:34 +08:00
    上次我装的 memcached 也是被人利用了这个漏洞 一直死机 后来我就改了端口。只允许本机访问 memcached 了
    Tony8Finet
        5
    Tony8Finet  
       2019-06-22 22:10:38 +08:00
    不会吧,我看到的 memcached 版本是 1.5.16

    > yum list memcached
    Available Packages
    memcached.x86_64 1.5.16-1.el7.remi
    cxh116
        6
    cxh116  
    OP
       2019-06-22 23:48:16 +08:00 via Android
    @Tony8Finet 你包名里带了 remi,这是非官方仓库有更新,官方仓库还是旧的。
    h175h32
        7
    h175h32  
       2019-06-23 16:50:15 +08:00
    怎么设置非官方仓库
    cxh116
        8
    cxh116  
    OP
       2019-06-23 20:53:16 +08:00 via Android
    @h175h32 https://blog.remirepo.net/pages/Config-en

    这是 remi 仓库的官方文档
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1426 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 90ms · UTC 23:49 · PVG 07:49 · LAX 15:49 · JFK 18:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.