Belakangan ini, banyak laporan tentang eksploitasi zimbra exploit zmcat. Semua versi Zimbra dikabarkan rentan terhadap exploit ini, yang dapat menyebabkan halaman kosong atau halaman putih saat diakses. Informasi ini diperoleh dari berbagai sumber, termasuk blog, forum Zimbra, dan pengalaman pribadi penulis. Exploit ini memanfaatkan metode input file bash script dan jsp pada port http/https.
Sebagai langkah awal, Zimbra telah mengumumkan agar pengguna segera melakukan upgrade. Pengguna Zimbra versi 8.8 diminta untuk upgrade ke versi 8.8.10 patch 7 atau 8.8.11 patch 3. Sedangkan pengguna versi 8.7 disarankan untuk upgrade ke versi 8.7.11 patch 10 (referensi).
Menangani Exploit Zimbra zmcat
Berikut adalah langkah-langkah untuk memeriksa dan menangani jika mail server Anda terkena exploit:
- Periksa Direktori /tmp
Buka direktori
/tmpdan periksa apakah terdapat filel.sh,s.sh, atauzmcatdengan perintah:12cd /tmp/ls -lahJika file tersebut ada, periksa proses file tersebut dengan perintah:
123ps faux | grep l\.shps faux | grep s\.shps faux | grep zmcatContoh:
123[root@mail tmp]# ps faux | grep zmcatroot 25248 0.0 0.0 112640 960 pts/5 S+ 23:52 :00 \_ grep --color=auto zmcatzimbra 20853 98.3 0.0 193152 5480 ? Ssl 23:46 5:33 /tmp/zmcatJika proses ditemukan, catat PID-nya dan hentikan proses tersebut dengan perintah:
1kill -9 20853Selanjutnya, hapus atau pindahkan file tersebut ke direktori lain:
12mkdir -p /opt/zbugmv l.sh s.sh zmcat /opt/zbugRename file-file tersebut:
1234cd /opt/zbugmv l.sh l.sh.bakmv s.sh s.sh.bakmv zmcat zmcat.bak - Cek Script JSP, Java, dan Class
Periksa script
.jsp,.java, dan.classdengan perintah:123find /opt/zimbra/jetty/ -name "*.jsp" -mtime -15 -lsfind /opt/zimbra/jetty/ -name "*_jsp.java" -mtime -15 -lsfind /opt/zimbra/jetty/ -name "*.class" -mtime -15 -lsScript
.jspbiasanya memiliki nama dengan 4 karakter acak, contohnyamWc6.jsp,shSJ.jsp,zIV2_jsp.java,mWc6_jsp.java,zIV2_jsp.class,mWc6_jsp.class. Pindahkan file-file tersebut ke direktori baru:12345find /opt/zimbra/jetty/ -name "*.jsp" -mtime -15 -ls1578935 4 -rw-r----- 1 zimbra zimbra 1236 Apr 3 04:45 /opt/zimbra/jetty/webapps/zimbra/img/mWc6.jsp1577796 4 -rw-r----- 1 zimbra zimbra 1236 Apr 3 04:43 /opt/zimbra/jetty/webapps/zimbra/img/zIV2.jsp1452761 4 -rw-r----- 1 zimbra zimbra 743 Apr 3 04:43 /opt/zimbra/jetty/webapps/zimbra/downloads/SbWk.jsp1452958 4 -rw-r----- 1 zimbra zimbra 743 Apr 3 04:45 /opt/zimbra/jetty/webapps/zimbra/downloads/shSJ.jspContoh pemindahan file:
12345[zimbra@mail ~]$ find /opt/zimbra/jetty/ -name "*.jsp" -mtime -15 -ls1578935 4 -rw-r----- 1 zimbra zimbra 1236 Apr 3 04:45 /opt/zimbra/jetty/webapps/zimbra/img/mWc6.jsp1577796 4 -rw-r----- 1 zimbra zimbra 1236 Apr 3 04:43 /opt/zimbra/jetty/webapps/zimbra/img/zIV2.jsp1452761 4 -rw-r----- 1 zimbra zimbra 743 Apr 3 04:43 /opt/zimbra/jetty/webapps/zimbra/downloads/SbWk.jsp1452958 4 -rw-r----- 1 zimbra zimbra 743 Apr 3 04:45 /opt/zimbra/jetty/webapps/zimbra/downloads/shSJ.jsp - Hide Zimbra dari Mesin Pencari
Gunakan perintah berikut untuk menyembunyikan Zimbra dari mesin pencari seperti Google, Bing, dan DuckDuckGo:
123su - zimbrazmprov mcf zimbraMailKeepOutWebCrawlers TRUE +zimbraResponseHeader "X-Robots-Tag: noindex"zmmailboxdctl restart - Cek dan Hentikan Proses Script zmswatch
Periksa apakah terdapat file script
zmswatchdanzmswatch.shdi direktori/opt/zimbra/log:12cd /opt/zimbra/logls -lahDetail file:
12-rwxr-x--- 1 zimbra zimbra 976K May 17 23:04 zmswatch-rwxr-x--- 1 zimbra zimbra 225 May 17 23:04 zmswatch.shPeriksa PID
zmswatchdengan perintah:123[root@mail tmp]# ps faux | grep zmswatchroot 25248 0.0 0.0 112640 960 pts/5 S+ 23:52 :00 \_ grep --color=auto zmswatchzimbra 20857 98.3 0.0 193152 5480 ? Ssl 23:46 5:33 /opt/zimbra/log/zmswatchHentikan proses PID
20857dengan perintah:1kill -9 20857Cek crontab user zimbra:
12su - zimbracrontab -lJika crontab zimbra hilang, lakukan langkah berikut:
Untuk Single-Server Zimbra 8.7:
1234cp -pvr /var/spool/cron/zimbra /tmp/zimbra.cron.BAKcat /opt/zimbra/conf/crontabs/crontab > /tmp/cron_s_zimbracrontab /tmp/cron_s_zimbracrontab -lUntuk Zimbra 8.8:
12crontab -l | grep -v zmswatch | crontab -crontab -l
Langkah-langkah ini bertujuan untuk meminimalisir dampak eksploitasi zmcat dan menjaga keamanan sistem Zimbra Anda. Selalu periksa dan update sistem secara berkala untuk menghindari masalah keamanan di masa depan.
Tips Tambahan untuk Mengamankan Zimbra Mail Server
Selain langkah-langkah penanganan exploit seperti yang telah dibahas, ada beberapa tips tambahan untuk meningkatkan keamanan Zimbra Mail Server Anda:
- Aktifkan HTTPS
Pastikan komunikasi antara server Zimbra dan klien terenkripsi dengan menggunakan HTTPS. Instal sertifikat SSL/TLS yang valid dan konfigurasikan Zimbra untuk hanya menerima koneksi HTTPS. Hal ini akan melindungi data yang ditransmisikan dari potensi penyadapan dan modifikasi.
- Perbarui Secara Berkala
Selalu perbarui Zimbra ke versi terbaru untuk mendapatkan patch keamanan terbaru dan perbaikan bug. Versi yang lebih baru seringkali menyertakan perbaikan terhadap celah keamanan yang telah ditemukan.
- Gunakan Firewall dan Kontrol Akses Jaringan
Batasi akses ke port Zimbra dengan menggunakan firewall. Hanya izinkan IP yang dipercaya untuk mengakses port yang diperlukan seperti 80 (HTTP), 443 (HTTPS), 25 (SMTP), 587 (SMTP AUTH), 143 (IMAP), dan 993 (IMAP SSL). Dengan cara ini, Anda dapat mengurangi kemungkinan akses yang tidak sah.
- Aktifkan Autentikasi Dua Faktor (2FA)
Implementasikan autentikasi dua faktor untuk akses admin Zimbra dan pengguna akhir. Ini menambahkan lapisan keamanan ekstra dengan memerlukan verifikasi tambahan selain kata sandi.
- Monitor Log Aktivitas
Secara rutin periksa log aktivitas Zimbra untuk mendeteksi aktivitas mencurigakan atau tidak biasa. Log yang relevan termasuk log akses, log sistem, dan log aplikasi.
- Konfigurasi Pengaturan Keamanan Email
Aktifkan pengaturan keamanan seperti DKIM (DomainKeys Identified Mail) dan SPF (Sender Policy Framework) untuk mengurangi risiko spoofing dan phishing. Pastikan konfigurasi DMARC juga diterapkan untuk meningkatkan perlindungan.
- Batasi Akses ke File dan Direktori Sensitif
Pastikan bahwa hanya pengguna yang sah yang memiliki akses ke file dan direktori sensitif di server Zimbra. Periksa dan sesuaikan izin file dengan hati-hati untuk menghindari akses tidak sah.
- Backup Data Secara Berkala
Lakukan backup data Zimbra secara teratur dan simpan cadangan di lokasi yang aman. Backup yang baik akan memastikan bahwa data dapat dipulihkan jika terjadi serangan atau kehilangan data.
- Hapus Akun dan Data yang Tidak Digunakan
Secara rutin periksa dan hapus akun pengguna yang tidak lagi digunakan serta data yang tidak diperlukan. Ini membantu mengurangi risiko dari akses tidak sah melalui akun yang tidak aktif.
- Gunakan Alat Keamanan Tambahan
Pertimbangkan untuk menggunakan alat keamanan tambahan seperti Intrusion Detection Systems (IDS) atau Intrusion Prevention Systems (IPS) untuk melindungi server dari ancaman yang lebih canggih.
Dengan menerapkan tips-tips tambahan ini, Anda dapat meningkatkan keamanan Zimbra Mail Server dan melindungi data serta komunikasi email Anda dari berbagai ancaman. Keamanan adalah proses yang berkelanjutan, jadi tetap waspada dan terus pantau perkembangan terbaru dalam keamanan server.
Kesimpulan
Menangani exploit Zimbra zmcat memerlukan langkah-langkah cepat dan tepat untuk mencegah kerusakan lebih lanjut. Mulai dari memeriksa dan menghapus file yang mencurigakan hingga memeriksa dan memperbarui konfigurasi server, semua langkah ini penting untuk menjaga keamanan dan kinerja server Zimbra Anda. Pastikan untuk selalu memperbarui Zimbra dan mengikuti tips keamanan tambahan untuk melindungi server Anda dari potensi ancaman di masa depan.
Untuk bantuan lebih lanjut dan solusi profesional dalam mengelola Zimbra Mail Server Anda, jangan ragu untuk menghubungi kami. Kami menawarkan konsultasi dan layanan yang dapat membantu Anda menjaga keamanan dan kinerja server Zimbra Anda dengan optimal.
