Cảnh báo tình trạng VPS bị lạm dụng tấn công DDoS
19/04/2018 Cloud UpdatesQua công tác theo dõi, nhóm vận hành hạ tầng mạng của Z.com đã phát hiện tình trạng lạm dụng các máy chủ dịch vụ portmapper cấu hình không an toàn để tấn công DDOS vào mục tiêu khác. Lượng traffic huy động trong các cuộc tấn công này khá lớn, do đó gây ảnh hưởng tới hạ tầng mạng nơi có những hệ thống bị lạm dụng làm bàn đạp tấn công.
Dấu hiệu nhận biết: Các máy chủ có chạy dịch vụ memcached hoạt động ngay trên IP public, port 111 (udp).
Hướng xử lý: Cần nhanh chóng ngăn chặn luồng traffic này ngay lập tức.
1. Vào trang MyZcom > VPS Detail > Port Permission, bỏ chọn Allow All để tạm thời chặn mọi luồng traffic tới VPS.
2. Đăng nhập vào VPS thông qua Console trên web My Z.com, thực hiện các bước sau để khắc phục triệt để vấn đề:
* Gỡ bỏ hoặc vô hiệu hóa dịch vụ portmapper/rpcbind nếu không có nhu cầu sử dụng này trên hệ thống.
* Cấu hình tường lửa chặn luồng traffic tới dịch vụ này từ bên ngoài (lưu ý cấu hình để rule này được áp dụng ngay khi khởi động hệ thống).
iptables -I INPUT -p udp -dport 111 -j DROP
3. Sau đó có thể mở lại Port Permission để truy cập thông qua SSH và thực hiện điều chỉnh cấu hình thiết lập VPS xử lý triệt để vấn đề này.
