Contents

Baru-baru ini sedang mewabah memcached amplification attack pada Zimbra seperti yang sudah diberitakan di https://blog.cloudflare.com/memcrashed-major-amplification-attacks-from-port-11211 .  Jika server Zimbra sudah terkena serangan ini akan berdampak flooding atau banjirnya traffic bandwidth dari server Zimbra mengarah keluar / outgoing hingga mencapai 40 Mbps bahkan lebih seperti monitor traffic berikut.

Memcached Amplification Attack

Memperbaiki Memcached Amplification Attack Zimbra

Jalankan perintah berikut untuk memperbaiki serangan dengan menggunakan user zimbra. Jika infrastruktur zimbra anda adalah multi server, jalankan perintah berikut pada server proxy.

Pastikan kembali service memcached sudah listen hanya untuk dirinya sendiri atau localhost (127.0.0.1) dengan menggunakan perintah berikut.

Maka akan terlihat seperti berikut.

Rekomendasi

  1. Hanya membukakan port-port seperti 80, 443, 25, 465, 587, 143, 993, 110, 995 yang hanya dibutuhkan oleh user. Selebihnya DROP atau BLOCK.
  2. Menempatkan server-server proxy Zimbra pada segment DMZ atau dibatasi oleh firewall yang memiliki fitur IPS/IDS

About The Author

Comments

  1. Hamdan

    Halo Mas Rio,

    Sudah saya lakukan perintah seperti diatas, tetapi server masih not respond ketika diakses oleh user lewat web.

    Apakah flooding masih terjadi? karena dinetstat tidak ada tanda2 flooding.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.