Menangani Exploit Zimbra Zmcat

Cara Menangani Exploit Zimbra zmcat yang sedang marak dikabarkan semua versi zimbra rentan terinfeksi. Bug ini menghasilkan blank page atau halaman putih ketika kita mengakses zimbra. Informasi ini kami dapat dari blog, forum zimbra dan pengalaman pribadi penulis. Exploitasi ini menggunakan metode input file bash script dan jsp pada port http/https.
Sebagai penanganan dini dari bug ini, website resmi zimbra sudah memberi announcement untuk segera melakukan upgrade kepada pengguna. Pengguna zimbra versi 8.8 diminta untuk upgrade ke versi 8.8.10 patch 7 atau 8.8.11 patch 3, sedangkan untuk pengguna zimbra versi 8.7 disarankan untuk upgrade ke versi 8.7.11 patch 10. (refernsi: nist.gov)

Menangani Exploit Zimbra Zmcat

berikut cara memeriksa apakah mail server anda terkena exploit
Buka direktori /tmp, cek apakah terdapat file l.sh, s.sh, dan zmcat dengan menjalankan perintah berikut

Bila terdapat file tersebut pada direktori /tmp, cek proses file tersebut dengan menjalankan perintah

Kill semua process script tersebut.

Contoh:

PID nya adalah 20853

Delete atau pindahkan file tersebut ke direktori lain.

Rename scripte tersebut

Cek script jsp, java, class menggunakan perintah berikut

Nama script .jsp menggunakan 4 karakter acak contohnya mWc6.jsp, shSJ.jsp,zIV2_jsp.java, mWc6_jsp.java, zIV2_jsp.class, mWc6_jsp.class. Pindahkan file-file tersebut ke dalam sebuah direktori baru.

Contoh

Hide zimbra dari mesin pencari seperti google, bing, duckduckgo, dan lain-lain menggunakan perintah berikut

 

Setelah sekian hari muncul keanehan pada kinerja prosessor selalu menjadi 100%, setelah di croscek ada file script zimbra yang membuat cpu usage menjadi 100%

Cek apakah terdapat file script zmswatch dan zmswatch.sh pada direktori /opt/zimbra/log

Detail file tersebut adalah sebagai berikut

Cek PID zmswatch dengan perintah berikut

Kill process PID 20857 dengan perintah

Cek cron tab user zimbra

Jika cron zimbra tetap ada, berarti sudah tidak masalah.

Jika cron zimbra hilang, maka lakukan langkah berikut

Untuk Single-Server Zimbra 8.7

Jika menggunakan Zimbra Network Edition, tambahkan perintah berikut

Untuk Multi Server Zimbra 8.7

LDAP Server:

Mailbox Server:

MTA+Proxy Server:

Setelah itu restart service cron dengan perintah

Ubuntu

RHEL/Centos 7.x

RHEL/Centos 6.x

CATATAN:
– Tutorial diatas hanya untuk penanganan dini dan sangat tidak dianjurkan untuk menggunakan email server sebagai produksi untuk selanjutnya jika;
– email server sudah terkena local exploit ataupun root exploit
– SANGAT DISARANKAN untuk migrasi ke server baru

About ArieL FX

Seorang Kuli Server & Datacenter, Terkadang Mendadak menjadi "cowok bayaran". Hanya seorang pengembara dilayar "hitam". Contact: Google+, Twitter and Facebook

Leave a Reply

Your email address will not be published. Required fields are marked *

Please Fill The Answer *

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Butuh bantuan? Fast respons hubungi kami : (+62) 817-776-588
Live Chat