непонятная абуза от hetzner

[Xansen]

Друзья, гуру, прошу совета, не понимаю что они от меня хотят. Вот текст абузы:

Please note:
This is an automatically generated message.
Please do not reply to the sender.
For queries, please contact: certbund@bsi.bund.de



[CERT-Bund#2015012628000389]

Dear Sir or Madam

Memcached[1] is an open source cache server which is used to store and
retrieve data from memory easily. Memcached is frequently used in
connection with web applications. The memcached server does not support
any authentication, so that attackers have unrestricted access to the data
stored in the cache if the server is reachable from the Internet. This
makes it possible for attackers to potentially spy out information from
the systems which are affected, such as login data for web applications
or other confidential content.

Memcached servers have been identified by the Shadowserver 'Open Memcached
Key-Value Store Scanning Project'[2] which are openly accessible from the
Internet.

We are sending you the following list of affected systems in your net area.
The timestamp (UTC time zone) shows when the system was checked and when
an open memcached server was identified.

We kindly request that you examine the situation and take measures to
safeguard the memcached servers on the systems concerned or inform your
customer accordingly.

References:

[1] Memcached
<Для просмотра ссылки Войди или Зарегистрируйся
[2] Shadowserver: Open Memcached Key-Value Store Scanning Project
<Для просмотра ссылки Войди или Зарегистрируйся

24940 | [здесь мой IP адрес] | 2015-01-26 02:04:55 | 11211 | 1.4.13

Kind regards
Team CERT-Bund

Bundesamt für Sicherheit in der Informationstechnik (BSI)
Referat C21 - CERT-Bund
Godesberger Allee 185-189
D-53175 Bonn



Подскажите, что это значит и что мне нужно сделать. Спасибо!

 

[mrLom]

А чего непонятного, твой Memcached открыт извне для злоумышленников, можно извлекать из кэша любые данные без каких либо ограничений, к примеру, если кэшируются, пароли от баз данных.
Тебе предложили устранить недостатки, закрыть на использование во внешнюю сеть данные сервисы или использовать авторизацию.
После устранения, сообщить об этом в техническую поддержку от имени клиента.
Как-то так

 

[Xansen]

А чего непонятного, твой Memcached открыт извне для злоумышленников, можно извлекать из кэша любые данные без каких либо ограничений, к примеру, если кэшируются, пароли от баз данных.
Тебе предложили устранить недостатки, закрыть на использование во внешнюю сеть данные сервисы или использовать авторизацию.
После устранения, сообщить об этом в техническую поддержку от имени клиента.
Как-то так

Спасибо огромное, а не подскажете где почитать подробнее как его закрыть?

 

[mrLom]

Технически, нужно поправить конфиги Memcached на прослушивание порта, к примеру 11211
С прослушиванием хоста localhost. ← Видимо проблематика именно тут, у вас используется внешний IP адрес.
Далее стандартно правилом iptables закрываем прослушивание извне порта 11211 ← и тут, писали ли вы iptables?
Далее в конфигах под вашу CMS нужно настроить, где у вас кэширование. Нужно учитывать, что у вас может быть несколько сайтов, что бы не смешивались все кэши, нужно к кэшам подмешивать сиды.
Гуглем для вашей линуксовой операционки и CMS ищется на раз.
После всех манипуляций сообщаете в тех.поддержку, что ваша пробема разрешена.

 

[metsys]

iptables -A INPUT -i eth0 -p tcp -m tcp --dport 11211 -j REJECT --reject-with tcp-reset

eth0 - меняете на свой сетевой интерфейс который смотрит в мир
11211 - меняете на свой порт если меняли (дефолтный 11211 - скорее всего вы не меняли его. если робот-сканер прова нашел автоматом)

 

[Xansen]

спасибо, сделал, а как теперь проверить что всё работает правильно и мемкэш закрыт извне?

 

[mrLom]

В каком либо внешнем линуксе выполните команду: nc [IP адрес] 11211
Если из виндовса будете проверять, попробуйте телнетом подключится к порту 11211. Таймаут может быть долгим, а ответ неясным, по этому на вашем "больном" сервере: netstat | grep 11211
Смотрите внешние подключения

А вообще, вот тут инструкции: Для просмотра ссылки Войди или Зарегистрируйся
Можете после проверки написать им письмо – please contact us at dnsscan[at]shadowserver[dot]org, что бы они перепроверили, а после проверки, они сами удалят вас из списка открытых Memcached

UPD: Да, еще забыл сказать, что есть всякие сервисы на проверку открытых портов в вашем сервере, возможно вы приятно удивитесь, что у вас открыто вообще все.