Contents

Baru-baru ini sedang mewabah memcached amplification attack pada Zimbra seperti yang sudah diberitakan di https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211 .  Jika server Zimbra sudah terkena serangan ini akan berdampak flooding atau banjirnya traffic bandwidth dari server Zimbra mengarah keluar / outgoing hingga mencapai 40 Mbps bahkan lebih seperti monitor traffic berikut.

Memcached Amplification Attack

Memperbaiki Memcached Amplification Attack Zimbra

Jalankan perintah berikut untuk memperbaiki serangan dengan menggunakan user zimbra. Jika infrastruktur zimbra anda adalah multi server, jalankan perintah berikut pada server proxy.

Pastikan kembali service memcached sudah listen hanya untuk dirinya sendiri atau localhost (127.0.0.1) dengan menggunakan perintah berikut.

Maka akan terlihat seperti berikut.

Rekomendasi

  1. Hanya membukakan port-port seperti 80, 443, 25, 465, 587, 143, 993, 110, 995 yang hanya dibutuhkan oleh user. Selebihnya DROP atau BLOCK.
  2. Menempatkan server-server proxy Zimbra pada segment DMZ atau dibatasi oleh firewall yang memiliki fitur IPS/IDS

About The Author

Leave a Reply

Your email address will not be published. Required fields are marked *