portmapper

Descripción del problema:

Este problema se dá normalmente en servidores Linux que tienen el servicio de portmapper (rpcbind) expuesto a internet corriendo en los puertos 111/tcp y/p 111/udp .

Este servicio puede ser malutilizado para realizar ataques de negación de servicio por inundación de paquetes (flooding) a terceros consumiéndonos ancho de banda. Además puede ser utilizado para, potencialmente, obtener información sensible de nuestro equipo.

Este servicio se utiliza, mayormente, si es que se tiene un servidor de NFS activo en el equipo. No es común encontrarse con servidores de NFS expuestos a internet. Normalmente este servicio está abierto sin ningún tipo de uso, porque se instaló un servidor por defecto y este servicio quedó abierto  sin protección ninguna.

Cómo proceder:

Normalmente es seguro apagarle ejecutando:

service rpcbind stop

chkconfig rpcbind off

En las versiones modernas de CentOS Linux (7 y superiores) se ejecuta:

systemctl stop rpcbind

systemctl disable rpcbind

Si lo considera necesario y por mayor seguridad, puede eliminar totalmente el paquete rpcbind (

Tenga cuidado no borre otros paquetes necesarios para el buen funcionamiento de su servidor):

yum erase rpcbind

También se puede bloquear desde nuestro firewall las conexiones entrantes hacia los puertos 111/udp y 111/tcp. Estos puertos normalmente no deben estar expuestos a internet y puede hacerse esta labor para todos los equipos de nuestra red.