Neue DDoS Attacken via MemCached

An alle Server Betreiber, die einen root Server haben (also unmanaged):

Bitte prüft bei Einsatz von Memcached die Konfiguration und sichert zeitnah TCP/UDP Port 11211 entsprechend ab - eine neuer Angriffsvektor ist aufgetaucht - andernfalls lauft Ihr Gefahr, ungewollt zu Mittätern von heftigen DDoS Attacken zu werden.

Details dieser heftigen Angriffstechnik:

Memcrashed - Major amplification attacks from UDP port 11211
http://seclists.org/nanog/2018/Feb/174
https://medium.com/@qratorlabs/the-memcached-amplification-attack-reaching-500-gbps-b439a7b83c98
https://www.arbornetworks.com/blog/asert/memcached-reflection-amplification-description-ddos-attack-mitigation-recommendations/

Schutz:

CentOS: unter /etc/sysconfig/memcached bei Options “-l 127.0.0.1 -U 0” eintragen - MemCached nur noch per TCP (UDP abgeschaltet = primäres Angriffsziel) erreichbar und nur noch vom Server selbst.

Ubuntu: unter /etc/memcached.conf prüfen, ob -l 127.0.0.1 eingetragen ist (ab Ubuntu 14.04 eigentlich Standard)

Nach der Änderung 1x den Memcached Dienst neu starten!

Tipp:

Verschleiert die tatsächliche IP Eures Servers/Domain durch Einsatz einer DDoS Protection - z.B. Cloudflare, MyraCloud, Link11 - ist erst einmal die Ziel IP dem Angreifer bekannt, hat dieser ein leichtes Spiel, Euch vom Netz zu nehmen und Euer Hoster kann nicht helfen. Im Shared Hosting ist dies nicht zwingend zielführend, falls ein “Nachbar” mit der gleichen IP angegriffen wird. Bei Fragen hilft Euch Euer Hoster sicher mit Empfehlungen weiter.

 

Grüße,

SB