Bildiğiniz gibi memcache sunucu üzerinde verilerin ram belleğe yazılması için geliştirilmiş bir önbellek sistemidir ve 11211 portunu dinler.
24 şubat itibariye memcached üzerinde oluşan saldırılar sıklıkla raponlanmaya başladı ve saldırı sayısı gün geçtikçe artmakta. Bu türden bir saldırının hafifletilmesi çeşitli şekillerde yapılabilir, ancak en basit olanı, kaynak bağlantı noktası 11211’de udp’yi kapatmaktan geçiyor. Alternatif çözüm
- /etc/sysconfig/memcached dosyasını text ediyor ile açıyoruz
- OPTIONS=”” yazan bölümü OPTIONS=”-l 127.0.0.1″ olarak değiştiriyoruz.
- Dosyayı kaydediyoruz
- /etc/init.d/memcached restartt komutu ile memcached’i yeniden başlatıyoruz.
Güvenlik için atılması gereken adımlar:
Memcache tarafındaki adımları uygulamadan önce firewall üzerinde TCP/UDP 11211 portuna erişimi kısıtlamalısınız. Bazı mimarilerde Memcache’e dışarıdan erişilmesi gerekebiliyor. Bunun için IPtables üzerinde (CentOS 7.x’de firewalld) kurallar oluşturmalısınız.
Erişim izni için aşağıdaki satırları kullanın
iptables -I INPUT -p tcp -s X.X.X.X –dport 11211 -j ACCEPT
iptables -I INPUT -p udp -s X.X.X.X –dport 11211 -j ACCEPT
X.X.X.X kısmına erişecek IP adreslerini yazın. Kuralları eklerken ACCEPT kurallarının DROP kurallarının üstünde olduğundan emin olun.
Daha sonra da aşağıdaki satırları kullanarak bu portun public erişimini kapatın.
iptables -I INPUT -p tcp -s 0.0.0.0/0 –dport 11211 -j DROP
iptables -I INPUT -p udp -s 0.0.0.0/0 –dport 11211 -j DROP
Not: Bu işlemin sonunda iptables -L çıktısıyla kural sırasını kontrol edin. Eğer DROP kuralları ACCEPT önceyse sorun yaşayabilirsiniz. En üstte ACCEPT kurallarınız olmalı, altta da DROP kurallarınız olmalıdır.
Memcache, Windows üzerinde de çalıştırılabilen bir yapı olduğu için Windows sunucularda da gerekli config düzenlemesinin yapılması gerekiyor. Local IP’den dinlettirme işlemini Windows’daki config üzerinden de yapmalı ve Windows Firewall üzerinden 11211 portu için scope (Whitelist IP) tanımlaması yaparak diğer tüm istekleri droplatmalısınız.
