The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Зафиксировано использование Memcached в качестве усилителя т..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от opennews (ok) on 28-Фев-18, 12:20 
Компания Cloudflare сообщила о выявлении массивных DDoS-атак, интенсивность трафика в которых доходит до 500 Гбит/с, проводимых с использованием усилителя из общедоступных серверов Memcached. Метод атаки с использованием усилителя трафика основа на том, что запросы с участвующих в DDoS-атаке компьютеров направляются не напрямую на систему жертвы, а через промежуточный усилитель трафика, путем отправки UDP-пакетов с подставным обратным адресом жертвы (спуфинг).

Предоставляемый Memcached протокол позволяет взаимодействовать с сервером через протокол UDP. Один из вариантов усилителя заключается в отправке запроса вывода статистики (команда STAT), размер пакетов с которой во много раз могут превышать размер исходного запроса. Второй вариант заключается в загрузке в кэш большого блока данных с последующей отправкой с поддельного адреса жертвы запросов на загрузку этих данных (команда GET).

В случае Memecached, размер запроса составляет 15 байт, а ответ может включать сотни килобайт данных. В одной из изученных атак средний размер ответа составил 150 КБ (усиление в 9000-10000 раз). Наибольший зафиксированный в атаках размер ответа составил 750 КБ. В зависимости от сервера коэффициент усиления трафика может достигать 10-50 тысяч, что является абсолютным рекордом среди методов усиления атак. Для сравнения коэффициент усиления трафика для NTP составляет 556 раз, DNS - 28-54, RIPv2 - 21, SSDP - 20, SNMPv2 - 6.

Опасность представляют некорректно настроенные серверы, в которых  Memcached прикреплён к внешнему сетевому порту и может принимать запросы извне. Memcached не поддерживает аутентификацию и расчитан на прикрепление к внутреннему сетевому порту или ограничение досутупа на уровне межсетевого экрана, что позволяет любому обратиться к незащищённому хранилищу Memcached, а поддержка протокола UDP даёт возможность подделать обратный адрес, на который будет отправлен ответ. По предварительной оценке (https://www.shodan.io/report/N7ttll7J) в сети насчитывается 93 тысячи общедоступных серверов Memcached.


Всем администраторам рекомендуется проверить свои системы на предмет наличия открытого доступа к сетевому порту 11211 и заблокировать возможность обращения к нему из внешних сетей пакетным фильтром. При установке из пакетов в Ubuntu 16.04 по умолчанию memcached привязывается к localhost, но при установке из пакета в  CentOS 7.4 осуществляется привязка ко всем имеющимся сетевым интерфейсам. Разработчики Memcached оперативно выпустили (https://github.com/memcached/memcached/wiki/ReleaseNotes156) обновление 1.5.6, в котором по умолчанию отключили привязку к UDP-порту, что может нарушить работу  завязанных на UDP систем после проведения обновления, если явно не включить в параметрах запуска поддержку UDP (опция "-U 11211").


URL: http://www.senki.org/memcached-on-port-11211-udp-tcp-being-e.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=48161

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Зафиксировано использование Memcached в качестве усилителя т..."  –1 +/
Сообщение от Ne01eX (ok) on 28-Фев-18, 12:20 
Ещё текста (с картинками) на русском: https://habrahabr.ru/company/qrator/blog/350074/
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Зафиксировано использование Memcached в качестве усилителя т..."  +2 +/
Сообщение от Зануда on 28-Фев-18, 12:24 
Кб = килобит
КБ = килобайт
Ну что сложного? Почему каждый раз люди просто пишут "кб" и вынуждают читателя догадываться (а иногда это невозможно из контекста определить). А разница так-то почти на порядок.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от Зануда on 28-Фев-18, 12:26 
В этой статье же вообще используется Кб в значении КБ.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

10. "Зафиксировано использование Memcached в качестве усилителя т..."  +8 +/
Сообщение от Аноним (??) on 28-Фев-18, 12:45 
тех. спецы знают, что канальная скорость изм. в битах, а прикладной объем в байтах, зачем мне еще думать про какие-то буквы, товарищ читатель )
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

52. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от pavlinux (ok) on 28-Фев-18, 23:43 
> канальная скорость изм. в битах,...

боды слышал, не?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

72. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от t28 on 02-Мрт-18, 11:57 
> боды слышал, не?

В бодах измеряется скорость манипуляции.

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

5. "Зафиксировано использование Memcached в качестве усилителя т..."  –5 +/
Сообщение от A.Stahl (ok) on 28-Фев-18, 12:38 
На самом деле всё не так уж и плохо. В местах где это действительно важно, таких ошибок нет, а в масштабе подобных новостных статей ошибка на порядок несущественна.
Хотя откуда вообще такая ошибка берётся мне непонятно. Маленькая литера означает маленький кусок данных, а большая -- большой. Элементарно же.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

19. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Аноним (??) on 28-Фев-18, 13:51 
Откуда вы лезете? Килобит всегда пишут полностью, «Кбит», чтобы не путаться. Какие ещё «маленькие», «большие»?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

24. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Ага on 28-Фев-18, 14:10 
Не поверишь -- не всегда. И когда незнакомый тебе человек в интернете пишет "Кб" -- как определить, всегда ли они пишет "Кбит", чтобы не путаться, или нет?
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Crazy Alex (ok) on 28-Фев-18, 15:22 
Очень просто - либо понятно из контекста, либо ты не в теме и тебе пофигу
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от пох on 28-Фев-18, 18:41 
> Не поверишь -- не всегда. И когда незнакомый тебе человек в интернете пишет "Кб" -- как
> определить, всегда ли они пишет "Кбит",

банально - если тебе пишет оператор "вы опять превысили лимит траффика" - это биты (скорее гига, чем кило)
если админ "ваш бэкап опять не помещается в нашу хранилку" - байты.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

49. "Зафиксировано использование Memcached в качестве усилителя т..."  –1 +/
Сообщение от Аноним84701 (ok) on 28-Фев-18, 21:11 
> Откуда вы лезете?

Подозреваю, что некоторые – с Нибиру.
>  Килобит всегда пишут полностью, «Кбит», чтобы не путаться.

33k/56k модемы.
Факсы — тоже вполне себе официально:
http://www-01.ibm.com/common/ssi/cgi-bin/ssialias?infotype=a...
> 1996
> Speeds: 28.8K, 26.4K, 24.0K, 21.0K, 19.2K, 16.8K 14.4K, 12.0K, 9.6K, 7.2K, 4.8K, 2.4K, 0-300 bps

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

69. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от _ (??) on 01-Мрт-18, 22:00 
>bps

Дык вот как раз это - трактуется _однозначно_ ... см. павлинукса выше

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

71. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Аноним84701 (ok) on 02-Мрт-18, 00:19 
>>bps
> Дык вот как раз это - трактуется _однозначно_ ... см. павлинукса выше

Боды что ли? Не, не согласный я.
Если bps = baud per second, то получается какое-то масло маслянное, т.к. бод ~ кол. символов в секунду.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

74. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от t28 on 02-Мрт-18, 12:10 
Верно.
Там, ЕМНИП, техническая скорость ~3400 бод, что давало 28800 бит/с.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

77. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от SysA on 02-Мрт-18, 16:03 
>>>bps
>> Дык вот как раз это - трактуется _однозначно_ ... см. павлинукса выше
> Боды что ли? Не, не согласный я.
> Если bps = baud per second, то получается какое-то масло маслянное, т.к.
> бод ~ кол. символов в секунду.

bps - это "bits per second!" или бод!

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

78. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Аноним (??) on 02-Мрт-18, 16:53 
> bps - это "bits per second!" или бод!

Не или. 1 Бод != 1 bps.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

73. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от t28 on 02-Мрт-18, 12:04 
> Килобит всегда пишут полностью, «Кбит»

Ага.
Некоторые дауны вмето системной единицы с, пишут сек. Это чтобы людЯм понятнЕе было.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

7. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от АНГЫВНАГЫНВАШЩ on 28-Фев-18, 12:42 
под текстом статьи есть кнопка "Исправить"
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от A.Stahl (ok) on 28-Фев-18, 12:44 
А вода мокрая.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от Аноним (??) on 28-Фев-18, 12:50 
А Стахл?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

21. "Зафиксировано использование Memcached в качестве усилителя т..."  +8 +/
Сообщение от Аноним (??) on 28-Фев-18, 14:04 
А стахл — стухл
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

9. "Зафиксировано использование Memcached в качестве усилителя т..."  +3 +/
Сообщение от Аноним (??) on 28-Фев-18, 12:45 
> Кб = килобит
> КБ = килобайт
> Ну что сложного?

По-русски приставка "кило-" обозначается строчной буквой "к". Что сложного?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

26. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Andrey Mitrofanov on 28-Фев-18, 14:17 
> По-русски приставка "кило-" обозначается строчной буквой "к". Что сложного?

А киби- какой буквой обхзначается?

Мне-то не надо, и все эти буквовахтёры ... эээ... шумят без полезного сигнала.

Но!

Не смог удержаться, чтом не спросить. Вдруг, что новое... //ну и пошуметь само: пшпшпш, вжвжвжв

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

29. "Зафиксировано использование Memcached в качестве усилителя т..."  +2 +/
Сообщение от 1 (??) on 28-Фев-18, 14:35 
кибибайт = КиБ
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

53. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от pavlinux (ok) on 28-Фев-18, 23:47 
> КиБ

Король и Бульмень?

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

14. "Зафиксировано использование Memcached в качестве усилителя т..."  +5 +/
Сообщение от Аноним (??) on 28-Фев-18, 12:54 
Всё просто, те кто учился до 2000-ых пишут килобайт как Кб, а килобит как Кбит.
КБ и кибибайты это уже новомодные изобретения.

Килобит как Кб вообще никто никогда не писал и не пишет, это какие-то левые умозаключения.

Кб для килобайтов  официально допускается  "В качестве графического сокращения наряду с «Кбайт» допускается использование Кб" Русский орфографический словарь. Российская академия наук. Институт русского языка им. В. В. Виноградова, 2012 год. стр 863.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

47. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от RobotsCantPoop on 28-Фев-18, 20:37 
Есть ещё мимимибайт, для измерения количества байт в фотке с котиком.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

75. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от scorry (ok) on 02-Мрт-18, 15:05 
> Есть ещё мимимибайт, для измерения количества байт в фотке с котиком.

А вот зря же человека минусуют!

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

54. "Зафиксировано использование Memcached в качестве усилителя т..."  +1 +/
Сообщение от pavlinux (ok) on 28-Фев-18, 23:48 
> Кб = килобит
> КБ = килобайт
> Ну что сложного?

Чайник, чо.

КБ - это ЕСКДшное сокращение Конструкторского Бюро.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

65. "Зафиксировано использование Memcached в качестве усилителя т..."  +1 +/
Сообщение от Не занудствуй on 01-Мрт-18, 10:08 
В Вашем замечании не раскрыта тема кибибитов. :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

79. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Ыеуз0 on 06-Мрт-18, 13:30 
тожы самое с разделением разрядов запятой, на эвропейский манер. Ужас.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Зафиксировано использование Memcached в качестве усилителя т..."  –4 +/
Сообщение от Аноним (??) on 28-Фев-18, 12:35 
Про то, что memcached UDP умеет забыли даже разработчики memcached. Не всегда сохранение обратной совместимости идёт во благо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от Blind Vic (ok) on 28-Фев-18, 12:42 
В Убунту это отключено, так что дело не только в разработчиках.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

57. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от pavlinux (ok) on 28-Фев-18, 23:56 
> В Убунту это отключено, так что дело не только в разработчиках.

Во всем виноваты одмины.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от пох on 28-Фев-18, 12:51 
они не забыли и udp по сей день является лучшим выбором для подобных приложений.
Они забили на безопасность своей поделки прямо на этапе ее придумывания - это да.
В том числе потому, что были - разработчики, думать как админы - не обучены (в данном случае - о том, что проблема будет не у косорукого, не догадавшегося не торчать чем попало во внешние сети, а у совсем других людей).

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

20. "Зафиксировано использование Memcached в качестве усилителя т..."  +2 +/
Сообщение от Crazy Alex (ok) on 28-Фев-18, 13:56 
Разработчики продукта и должны думать как разработчики продукта. В системе, рассчитанной на максимально высокую скорость и простоту, только авторизации и не хватало.

Корректная интеграция - забота разработчиков систем с мемкешедом и прочих девопсов, благо в данном случае все крутилки есть и предельно тривиальны.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от пох on 28-Фев-18, 14:07 
> Разработчики продукта и должны думать как разработчики продукта.

ну правильно, а то ж лохи не будут платить qrator и cloudlflare миллионы денег за защиту от того, что вы наразрабатываете.

> В системе, рассчитанной на максимально высокую скорость и простоту, только авторизации и не
> хватало.

типикал подтверждение, что и как разработчик ты - г-но. (надеюсь, всем остальным понятно, из чего сделан вывод, а этому экземпляру объяснять не стоит)

> Корректная интеграция - забота разработчиков систем с мемкешедом и

а проблема эта, вот удивительно - не разработчиков, а тех, кому прилетело полтерабита в секунду. И сделать с этим они не могут ровно ничего (ну вот разьве что поискать там сип, как некоторые советуют), потому что никак не могут повлиять ни на профнепригодных разработчиков типа тебя, ни на профнепригодных админов миллиарда чужих дерьмовых хостингов.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "Зафиксировано использование Memcached в качестве усилителя т..."  –1 +/
Сообщение от Crazy Alex (ok) on 28-Фев-18, 14:25 
Не неси фигню, а?

Абуза прекрасно рубит таких "дерьмохостеров", аж гай шумит. После этого шевелятся они крайне резво.

Всё остальное - гон человека, не понимающего, кто за что отвечает и какие продукты дохнут, а какие - используются. Ты всерьёз думаешь, что самопальная авторизация в каждой софтине - это хорошо? Оно либо будет крайне тормозным, либо дырявым. Скорее всего - то и другое. И ты ровно так же будешь прикрывать это дело файрволлом и держать во внутренней сети.

А если бы они не сделали биндинг на 0.0.0.0 - то мемкеш вообще бы не взлетел, а взлетело бы что-то, что не требует никаких настроек полсе установки. Ну просто потому, что он пришёл оттуда, где настройками никто не заморачивается.

А сейчас если разворачивать его кошерно, то есть в контейнере - один хрен получишь либо приватную сетку, либо явно будешь прописывать, к каким интерфейсам у него досуп есть.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

41. "Зафиксировано использование Memcached в качестве усилителя т..."  +2 +/
Сообщение от пох on 28-Фев-18, 18:32 
> Не неси фигню, а?
> Абуза прекрасно рубит таких "дерьмохостеров", аж гай шумит.

мнение разработчика о том что он краем уха слышал мне очень интересно, да. А глазами ты явно никогда не видел, что такое 50гигабит на твои несчастные пусть даже десять (многие ли могут похвастать?) заглянувшие на огонек. А тут может быть влегкую 500, для этого достаточно найти всего пять сотен гнилых серверов с гигабитным подключением.

> Всё остальное - гон человека, не понимающего, кто за что отвечает и
> какие продукты дохнут, а какие - используются. Ты всерьёз думаешь, что

мемкэш в общем-то уже и сдох. Именно простота, которая хуже воровства, и погубила (да, там новый чувак пытался что-то делать, но он один и явно работает в свое свободное время). Мир пошел к redis, и к более сложным вещам чем key-value. Да, дохлая курица еще побегает, но уже недалеко и недолго. (причем, что хуже всего, бегать будет именно по рукожопым админам и дерьмохостингам без админа вообще - времена, когда это была технология для грамотных, как раз и кончились, и память подешевела)

> самопальная авторизация в каждой софтине - это хорошо? Оно либо будет

нет, омерзительно (хотя чаще всего через нее просто получают рут и это становится проблемой владельца софтины - что гораздо лучше, чем проблема посторонних, которые ничего не могут сделать с ее источником). Но в данном случае ты выбрал совершенно неверный метод, просто на грани профнепригодности.

Верный - очевидно, сразу же цепляться исключительно к loopback (не работало бы на доисторических bsd jails да и хрен бы с ними, это были бы проблемы отдельных страдальцев, сейчас уже отошедшие в мир иной по старости, вместе с владельцами), а для использования других интерфейсов заставлять пересобирать или хотя бы запусать с ключом --yes-i-know-what-im-doing и с перечнем ip, c которых разрешен доступ.

Причем если ты пишешь udp-не-авторизующий-сервер, тебе другие идеи вообще в принципе не должны были в голову приходить. Еще в том самом 2005м, когда это чудо только появлялось на свет, уже все это знали.

> А сейчас если разворачивать его кошерно, то есть в контейнере - один

то достучаться до него извне будет проблемой посерьезнее биндинга к 127.0.0.1 или вовсе local socket. И ничего, как-то справляются кое-какеры. (какой смысл тратить на такой сервис дополнительные ресурсы в виде контейнера, мне, правда, неведомо, если мы о контейнерах в смысле докера/lxc, а других у нас и нет)

> хрен получишь либо приватную сетку, либо явно будешь прописывать, к каким
> интерфейсам у него досуп есть.

eth0, конечно же. Он же первым в голову приходит, а еще они в нее едят!


Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

64. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от забыл_пароль_от_тигар on 01-Мрт-18, 09:57 
> Верный - очевидно, сразу же цепляться исключительно к loopback (не работало бы
> на доисторических bsd jails да и хрен бы с ними, это

а что такое "доисторических bsd jails" ?

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

70. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от пох on 01-Мрт-18, 22:50 
> а что такое "доисторических bsd jails" ?

2005й или когда там мемкэш только изобрели - у jail был только один интерфейс, только один ip, и обычно это ни разу не lo. Виртуальных сетевых карт в нем тем более не было.
Что вызывало некоторые проблемы у софта, пытающегося быть слишком аккуратным, а не сходу к inadr_any - он либо обламывался при попытке открыть несуществующий интерфейс, либо и вовсе цеплялся к вполне себе внешнему ip, думая что прицепился к loopback.

Ничего в общем-то ужасного, тогда их еще админы обслуживали, а не обезьянки.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

46. "Зафиксировано использование Memcached в качестве усилителя т..."  +2 +/
Сообщение от Moomintroll (ok) on 28-Фев-18, 19:31 
> если разворачивать его кошерно, то есть в контейнере

Мемкеш в контейнере? Но зачем?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

48. "Зафиксировано использование Memcached в качестве усилителя т..."  +2 +/
Сообщение от пох on 28-Фев-18, 20:44 
они по другому уже не умеют.
Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

76. "Зафиксировано использование Memcached в качестве усилителя т..."  +1 +/
Сообщение от scorry (ok) on 02-Мрт-18, 15:08 
>> если разворачивать его кошерно, то есть в контейнере
> Мемкеш в контейнере? Но зачем?

Это такая новая иллюзия безопасности.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

23. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Аноним (??) on 28-Фев-18, 14:07 
> Разработчики продукта и должны думать как разработчики продукта. В системе, рассчитанной
> на максимально высокую скорость и простоту, только авторизации и не хватало.
> Корректная интеграция - забота разработчиков систем с мемкешедом и прочих девопсов, благо
> в данном случае все крутилки есть и предельно тривиальны.

Просто разработчики давно здоровьем своей задницы не отвечали за написанное, потому и заботы на каких-то других людей переложены, у которых документации от внедряемого поде⁠лия, окромя твитера и слайдшаре (запрещённой в россии террористической организации), отродясь не было.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Crazy Alex (ok) on 28-Фев-18, 14:31 
То есть man - это не документация, а слайдшара - террористическая организация. Круть.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

43. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от пох on 28-Фев-18, 18:54 
> То есть man - это не документация,

нет. man sendmail до понимания.

> а слайдшара - террористическая организация.

угу. Товарищ майор подтвердит. Кажется, они хостились на серверах террористической организации linkedin (запрещена в России).

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

35. "Зафиксировано использование Memcached в качестве усилителя т..."  –3 +/
Сообщение от Аноним (??) on 28-Фев-18, 17:11 
А вы ничего не путаете?! С каких пор разработчики являются экспертами по безопасности?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

37. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Аноним (??) on 28-Фев-18, 17:47 
> А вы ничего не путаете?! С каких пор разработчики являются экспертами по
> безопасности?

даун, открывающий по-умолчанию порты на улицу без авторизации, это действительно не эксперт по безопасности.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

38. "Зафиксировано использование Memcached в качестве усилителя т..."  –1 +/
Сообщение от Аноним (??) on 28-Фев-18, 17:54 
Я бы на их месте - вообще оставлял бы конфиги пустыми. Пусть каждый "крутит" так как хочет и несет ответственность за это сам. Нашли крайних...
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

11. "Зафиксировано использование Memcached в качестве усилителя т..."  –1 +/
Сообщение от Аноним (??) on 28-Фев-18, 12:48 
Вообще то мемкеш успешно складывается от попытки sip регистрации по UDP на порт 11211 ;)

Еще есть люди которых не задолбало постоянное падение мемкеша от СИП сканов и они не закрыли мемкеш из мира ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Зафиксировано использование Memcached в качестве усилителя т..."  –1 +/
Сообщение от пох on 28-Фев-18, 12:54 
> Вообще то мемкеш успешно складывается от попытки sip регистрации по UDP на
> порт 11211 ;)

мм... у меня не сложился, что я делаю не так?
(а то может это неплохой способ attack mutigation - заодно может и сип где найдется...)

> Еще есть люди которых не задолбало постоянное падение мемкеша от СИП сканов
> и они не закрыли мемкеш из мира ?

у людей, у которых мемкэш торчит во внешние адреса (админы гoвнохостингов, поскольку у любого другого кэш будет не на фронтенде и при любом раскладе извне недоступен) нет такой проблемы.
Они либо вообще не знают что у них что-то упало, либо давно уже приставили daemontools/systemd к быстрому автоподнятию и не парятся.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Аноним (??) on 28-Фев-18, 13:24 
>Memcached прикреплён к внешнему сетевому порту и может принимать запросы извне. Memcached не поддерживает аутентификацию

Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их стали использовать как тяжелое метательное оружие.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от пох on 28-Фев-18, 13:35 
> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
> стали использовать как тяжелое метательное оружие.

видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли, хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим комом - побочный веселый эффект.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Зафиксировано использование Memcached в качестве усилителя т..."  –5 +/
Сообщение от Аноним (??) on 28-Фев-18, 14:10 
>> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
>> стали использовать как тяжелое метательное оружие.
> видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли,
> хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим
> комом - побочный веселый эффект.

какое отношение ёж имеет к мемкешеду? вы там в огороженном мирке интырпрайза совсем уже обускорялись?

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

33. "Зафиксировано использование Memcached в качестве усилителя т..."  +2 +/
Сообщение от Andrey Mitrofanov on 28-Фев-18, 16:13 
>>> Я представляю сколько сессий
> какое отношение ёж имеет к мемкешеду? вы там в огороженном мирке интырпрайза
> совсем уже обускорялись?

--Плслушайте, Штирлиц! А Вы в курсе как в нашем мирке интырпрайза размножаются ёооожжжики!?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от Аноним (??) on 28-Фев-18, 14:40 
>> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
>> стали использовать как тяжелое метательное оружие.
> видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли,
> хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим
> комом - побочный веселый эффект.

Вот не надо про ежей! Ежи оне все по талонам!

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

56. "Зафиксировано использование Memcached в качестве усилителя т..."  –1 +/
Сообщение от pavlinux (ok) on 28-Фев-18, 23:55 
>>> Я представляю сколько сессий пользователей/данных было украдено с этих серверов, до того как их
>>> стали использовать как тяжелое метательное оружие.
>> видимо, как раз от осозания феерической бесполезности украденого мусора, решили ежа, что-ли,
>> хотя бы пнуть... Ну а что в кого-то отлично прилетает колючим
>> комом - побочный веселый эффект.
> Вот не надо про ежей! Ежи оне все по талонам!

мозг

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Зафиксировано использование Memcached в качестве усилителя т..."  –3 +/
Сообщение от Ананимус242564248 on 28-Фев-18, 15:59 
Я не понимаю, баг кто-нибудь в РедХат откроет? Пусть локалхост слушает по-умолчанию, кому надо - поправят конфиг

Реально, открывайте issue

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Зафиксировано использование Memcached в качестве усилителя т..."  +1 +/
Сообщение от Andrey Mitrofanov on 28-Фев-18, 16:15 
Все говорят:

> Реально, открывайте issue

А ты купи ELLLLLLLLLL суппорт! Рассказать тебе сказочку про бELLLLLLого бычка?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

39. "Зафиксировано использование Memcached в качестве усилителя т..."  –3 +/
Сообщение от Crazy Alex (ok) on 28-Фев-18, 17:56 
Там, где используют RHEL, мемкеш не держат на том же хосте, что и его клиентов, а разворачивают его в приватной подсети и прикрывают файрволлом. Поэтому смысла для редхата делать дефолт localhost-only - никакого.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

44. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от пох on 28-Фев-18, 18:57 
> Я не понимаю, баг кто-нибудь в РедХат откроет?

могу в rhel 5.2 открыть. На нее есть контракт. Тебе легче станет?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

45. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от annual slayer on 28-Фев-18, 19:16 
ничему монга людей не научила, всё еще слушают не на локалхосте по дефолту
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

50. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от kewlhaxzor on 28-Фев-18, 21:22 
как это не научила? Мы вот научились искать уязвимые недоsql-тазабанные.
Правда, раньше мы их искали чтобы поиметь, а сегодня вот нашли нечто новенькое - настолько дырявое by design, что с его помощью можно поиметь весь мир.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

59. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от annual slayer on 01-Мрт-18, 02:20 
> как это не научила? Мы вот научились искать уязвимые недоsql-тазабанные.
> Правда, раньше мы их искали чтобы поиметь, а сегодня вот нашли нечто
> новенькое - настолько дырявое by design, что с его помощью можно
> поиметь весь мир.

и с коачем парой лет ранее я что-то похожее тоже припоминаю

Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

58. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от YetAnotherOnanym (ok) on 01-Мрт-18, 01:06 
Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей прошлой работе - давайдавайдавай быстрейбыстрейбыстрей, десять заданий с дедлайном вчера и ещё новые валятся - я не удивлён, что у них Memcached наружу торчит ничем не прикрытый.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "Зафиксировано использование Memcached в качестве усилителя т..."  –2 +/
Сообщение от pavlinux (ok) on 01-Мрт-18, 02:22 
> Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей
> прошлой работе - давайдавайдавай быстрейбыстрейбыстрей,

ты с кем это?

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

63. "Зафиксировано использование Memcached в качестве усилителя т..."  +1 +/
Сообщение от пох on 01-Мрт-18, 09:09 
> Ачотакова, если там админ(ы) в таких условиях, которые были на одной моей прошлой работе

даже (на самом деле - _тем_более_) в таких условиях - не иметь на сервере файрволла с дефолтным поведением DROP, и не открывать порт, нужный только локально, для всех подряд - это, извиняй, подтверждение полного непрофессионализма.

поэтому, видимо, они там и работают - больше никуда парашутиста-торопыгу не берут, а на его место стоит очередь из еще сотни неумех, умеющих только быстро-быстро перебирать тикеты в тикетнице.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

66. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от YetAnotherOnanym (ok) on 01-Мрт-18, 13:17 
А другие туда и не идут. Я тоже сбежал, потому что отношение - "все 24 часа в сутки моего работника принадлежат мне". Я там сидел до 10-11 вечера, разгребал навоз и затыкал дыры, а когда время, уходящее на реагирование на инциденты уменьшилось, так что появилось время на какое-то развитие, хозяин решил, что я недозагружен и должен ещё и счета разносить. Тогда я плюнул и ушёл.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

61. "Зафиксировано использование Memcached в качестве усилителя т..."  +3 +/
Сообщение от Джон Ленин on 01-Мрт-18, 02:41 
>(усиление в 9000 раз)

Over9k!!! O_o

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "Зафиксировано использование Memcached в качестве усилителя т..."  +1 +/
Сообщение от Аноним (??) on 01-Мрт-18, 17:19 
> рекомендуется проверить свои системы на предмет наличия открытого доступа к сетевому порту 11211 и заблокировать возможность обращения к нему из внешних сетей пакетным фильтром

Плохая рекомендация, негодная. Вот хорошая:

Рекомендуется запретить доступ ко всем сетевым портам из внешних сетей, разрешив только необходимые.

У хорошо настроенного админа левый глаз должен дёргаться всякий раз, когда он видит, как сетевой интерфейс поднимается до настройки фаерволла. АЖ ТРИСЁТ!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Зафиксировано использование Memcached в качестве усилителя т..."  +/
Сообщение от Stop on 01-Мрт-18, 18:48 
> У хорошо настроенного админа
Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor