慎用memcached, 请一定记得关掉UDP, 或者禁止外网访问

早上一大早, 收到运营反馈, 后台上传炸了. “好端端的, 怎么就炸了呢”, 一边想着然后登录了后台, 发现的确上传速度慢的离谱, 上服务器看了眼日志, up.qiniu.com出现了大量的time out, 随即联系七牛, 寻求帮助. 七牛官方人员处理的途中, 自己也准备瞄一眼服务器的状态, 然后发现响应稍稍有点卡顿, 这不该啊, 国内的服务器, 不至于有卡顿的. 抱着怀疑的态度打开了iftop, 好家伙… TX直接百兆 —— 上行带宽被跑满了…

开始排查, 首先怀疑的首当其冲是nginx了, 直接tail所有的日志文件, 然后用iftop中流量很高的ip进行grep, 结果发现, 没有任何结果!

然后决定停止nginx服务10秒钟, 结果流量并没有下降…看来带宽并不是nginx产生了, 开始有点慌了, 毕竟接触外部的就只有nginx了, 难道是成肉鸡了…

尝试使用iptables禁用掉相关的ip, 禁用了大概5、6个发现根本禁用不完, iftop中还是充斥着大量的美国、墨西哥IP…

开始回忆最近做了什么, 然后想起来昨天启动了memcached, 难道和这有关系? 直接kill掉, 发现带宽瞬间恢复正常…纳尼?!

开始查阅相关资料, 原来memcached默认监听0.0.0.0, 而且默认开启了UDP而导致被黑客利用作为DDOS放大器进行DDOS攻击…

相关文档: https://www.freebuf.com/articles/network/163895.html

“慎用memcached, 请一定记得关掉UDP, 或者禁止外网访问”的3个回复

  1. 这年头,坏人太多,我有一次测试nginx 正向代理,忘记关了,也被人当作跳板攻击被人网站,蛋疼!

发表评论

电子邮件地址不会被公开。