Незащищенный NTP-сервер становится невольным промежуточным звеном атаки.
Атаке подвержены версии ntpd до 4.2.7p26 (стабильная сейчас 4.2.6p5).
Проверить свой сервер на уязвимость можно выполнив команду
ntpdc -c monlist адрес_сервера
Если команда выдает список клиентов (а не «timed out, nothing received»), значит система уязвима.
Устранение
Как минимум 3 способа:
1) Обновить ntpd до версии 4.2.7p26. В FreeBSD обновите порты и установите ntpd из net/ntp-devel.
Без обновления можно:
2) Отключить monlist в ntp.conf, добавив строчку
disable monitor
3) Или отключить любые запросы статуса сервера в restrict default
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
Возможно, вы вообще не знали, что ваш NTP-сервер виден наружу (-:. Тогда отключите доступ к нему полностью.
Я столкнулся с этой проблемой еще в ноябре, когда NTP-трафик на моем публичном NTP stratum1.net стал 30Гб в час. Заметил я это не сразу, т.к. даже на процессоре Atom загрузка была менее 5%. Тогда я написал bash-скрипт, который смотрел статистику трафика граничного брандмауэра за последние полчаса (через netflow) и автоматически добавлял правило deny для слишком активным клиентов. И вот через два месяца стало понятно, что это было.
Источники:
http://ift.tt/1dqHU1j
http://ift.tt/1a74J96
http://ift.tt/1analcr
P.S. В недавнем топике был описан частный случай атаки vmware esxi.
This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий